﻿UDC - ( ) BBC ya P Recenzători: conf univ Institutul de Criptografie, Comunicații și Informatică al Academiei FSB din Rusia V G Proskurin', șef Departamentul de Informatică și Securitate Informațională, Universitatea de Stat de Comunicații din Sankt Petersburg, Prof , Doctor în Inginerie, Științe A A Kornienko Platonov V V P Software și hardware pentru securitatea informațiilor rețelelor de calculatoare: manual, manual pentru elevi superior studii, instituţii / VV Platonov - M : Centrul editorial "Academia", - p ISBN - - - Sunt luate în considerare atacurile de rețea de la distanță și organizarea protecției împotriva acestora Sunt prezentate metodele de descriere a atacurilor, clasificarea lor și principalele tendințe de dezvoltare Sunt descrise principalele tehnologii ale firewall-urilor, întrebările privind evaluarea și testarea acestora Sunt analizate metodele de construire a sistemelor de detectare a intruziunilor, varietățile și perspectivele acestora Sunt luate în considerare problemele de protecție în organizarea accesului la distanță, principiul construcției și exploatării rețelelor private virtuale (VPN), precum și principalele instrumente domestice pentru construirea acestora Pentru studenții universitari UDC - ( ) BBK ya Aspectul original al acestei publicații este proprietatea Academy Publishing Center, iar reproducerea sa în orice mod fără acordul deținătorului drepturilor de autor este interzisă (c) Platonov V V , (c) Centrul educațional și editorial "Academia", ISBN - - - (c) Design Centrul de editare "Academia", INTRODUCERE Am ajuns la concluzia că cei mai buni experți în domeniul securității sunt oamenii care investighează imperfecțiunile măsurilor de protecție B Schneier Secrete și minciuni Lumea modernă nu poate fi imaginată fără mijloace de comunicare și tehnologie informatică, în care software-ul joacă un rol dominant Tehnologia informației progresează foarte rapid, acoperind domenii din ce în ce mai largi ale activității umane Prin urmare, securitatea tehnologiei informației este unul dintre cele mai importante aspecte ale asigurării funcționării acestora Comunicațiile și tehnologiile informaționale s-au unit Acest lucru a fost facilitat în mare măsură de utilizarea Internetului, care a devenit un mediu global și universal de comunicare Stiva de protocoale TCP/IP, dezvoltată în urmă cu mai bine de de ani, în ciuda deficiențelor sale, a reușit să cucerească întreaga lume Creșterea numărului de calculatoare și rețele de calculatoare, utilizarea din ce în ce mai mare a tehnologiilor de rețea și a tehnologiilor de internet nu numai că au extins semnificativ geografia utilizatorilor, capacitatea acestora de a comunica între ei, dar au crescut și posibilitatea de implementare a proceselor de afaceri în rețea Organizațiile, companiile și utilizatorii obișnuiți au putut folosi tehnologiile Internet în activitățile lor zilnice Acest lucru este facilitat de dezvoltarea serviciilor existente și de apariția altora noi solicitate de comunitatea mondială Pe lângă creșterea oportunităților, utilizarea tehnologiilor Internet crește semnificativ riscul pierderii datelor, pierderii reputației și pur și simplu pierderi financiare Acest lucru se datorează în mare măsură faptului că inițial tehnologiile Internet nu au fost concepute pentru a asigura siguranța funcționării, în plus, primii utilizatori ai Internetului au considerat sarcina principală de a asigura posibilitatea unei comunicări fiabile între ei Statisticile arată că prejudiciul financiar cauzat de criminalii informatici crește în fiecare an Creștere a numărului de utilizatori, defecte în software-ul utilizatorului, acces gratuit la malware grame, precum și impunitatea practică pentru abateri, a dus la faptul că organizațiile, companiile și utilizatorii obișnuiți trebuie să dedice atenție și timp asigurării protecției Sistemele informatice distribuite moderne nu pot fi protejate doar prin utilizarea măsurilor organizatorice și a mijloacelor de protecție fizică Pentru securitatea funcționării tehnologiilor informaționale este necesar să se utilizeze mecanisme și mijloace de protecție a rețelei care să asigure confidențialitatea, integritatea și disponibilitatea sistemelor informatice, a software-ului și a datelor În ultimul deceniu s-a format piața securității informațiilor, un număr tot mai mare de organizații diferite fiind implicate în rezolvarea problemelor stringente de asigurare a protecției Rezolvarea acestor probleme este complicată din mai multe motive Printre acestea, trebuie remarcate următoarele: lipsa unei terminologii unificate și a unei teorii unificate a protecției, utilizarea, de regulă, a software-ului de la producători străini și costul ridicat al instrumentelor de protecție de înaltă calitate Implementarea protecției informațiilor în rețelele corporative moderne se bazează pe utilizarea instrumentelor de protecție implementate prin metode software, hardware și software și hardware Numărul publicațiilor și articolelor dedicate diverselor probleme ale securității informațiilor crește în fiecare an Acest tutorial descrie principalele tehnologii utilizate în construirea sistemelor de securitate pentru rețelele corporative "Securitatea este un proces, nu un produs" , nota B Schneier în cartea sa "Secrete și minciuni", epigrafele din care însoțesc fiecare capitol Tutorialul este format din cinci capitole În cap ia în considerare problemele de asigurare a securității interacțiunii inter-rețea, oferă o clasificare de sistem a amenințărilor Sunt prezentate principalele probleme de asigurare a securității informațiilor și o schemă generalizată de management al securității, aspectele legate de construirea politicii de securitate a unei organizații și șabloanele de politici existente Pentru politica de securitate a rețelei sunt luate în considerare perimetrele de rețea ale organizației și elementele de apărare a clădirii în profunzime Ca una dintre cele mai importante sarcini ale managementului securității informațiilor, este luată în considerare abordarea managementului riscului, inclusiv a metodelor de evaluare și reducere a riscurilor Sunt prezentate conceptele de bază ale auditului și importanța acestuia în asigurarea securității informațiilor • Schneier B Secrete și minciuni Securitatea datelor în lumea digitală / B Schneier - St Petersburg : Peter, - p În cap ia în considerare principala amenințare pentru internetworking - atacurile de rețea de la distanță Sunt date elemente de terminologie și sunt luate în considerare exemple ale unor atacuri Atenția principală este acordată abordărilor existente în clasificarea atacurilor și se are în vedere construcția unei ontologii a atacurilor de rețea la distanță Sunt oferite o abordare și exemple de evaluare a gravității atacurilor În cap sunt luate în considerare principalele etape ale dezvoltării tehnologiilor firewall Tehnologiile sunt ilustrate cu exemple de liste de control al accesului pentru routerele Cisco Sunt prezentate metode pentru ocolirea firewall-urilor, precum și principalele abordări ale ecranelor de testare În cap are în vedere sistemele de detectare a intruziunilor, este dată clasificarea acestora Atenția principală este acordată analizei abordărilor promițătoare ale detectării folosind tehnologii de inteligență artificială Sunt luate în considerare metodele de eludare (înșelăciune) a sistemelor de detectare a intruziunilor și metodele existente de testare a sistemelor de detectare, abordări ale construirii sistemelor de prevenire a intruziunilor În cap discută problemele generale ale tunelării și principiile construirii rețelelor private virtuale Sunt analizate principalele protocoale de organizare a rețelelor private virtuale la nivel de canal, rețea și transport Anexa descrie tehnologia de funcționare și principalele componente ale sistemului de detectare a intruziunilor Snort CAPITOLUL SECURITATEA INTERNETULUI În era Internetului, conceptele de securitate computerizată și securitatea rețelei aproape au fuzionat B Schneier Secrete și minciuni Rețelele de computere moderne ale organizațiilor sunt sisteme complexe care constau din multe componente Printre acest set de componente, se pot evidenția o varietate de calculatoare, sisteme și aplicații software (software) ale acestor computere, adaptoare de rețea, hub-uri, comutatoare, routere și sisteme de conectare (cablu) Utilizarea pe scară largă a Internetului și a tehnologiilor Internet a dus la o schimbare calitativă a rețelelor de calculatoare Dacă mai devreme Internetul era folosit în principal ca mediu de transmisie, atunci în prezent Internetul devine nu numai un mijloc de interacțiune interactivă între oameni, ci și un mijloc de desfășurare a operațiunilor de afaceri ale organizațiilor, un mijloc real de a desfășura operațiuni de afaceri Popularitatea tehnologiilor IP se explică prin avantajele lor obiective Astfel de avantaje includ simplitatea relativă a principiilor fundamentale ale tehnologiei Unul dintre aceste principii este deschiderea, care se exprimă prin discuții libere, cercetare și testare a noilor protocoale de stivă TCP / IP în cadrul nu numai al grupurilor de lucru ale Internet Engineering Task Force (IETF), ci și al întregii comunități mondiale Standardele și specificațiile dezvoltate și propuse sunt disponibile pentru aproape toți utilizatorii de Internet Deschiderea tehnologiei face posibilă integrarea relativ simplă a altor tehnologii în rețelele IP, ceea ce mărește în mod semnificativ sfera Internetului Un alt avantaj al tehnologiilor IP este scalabilitatea, care a fost deja integrată în dezvoltarea Internetului Stiva TCP/IP organizată ierarhic face posibilă extinderea rețelelor de organizații în limite destul de mari Aceste și alte avantaje oferite pe În prezent, utilizarea pe scară largă a tehnologiilor IP Tehnologiile care au dus la succesul internetului s-au dovedit a fi extrem de promițătoare acestea și pentru rețelele interne ale organizațiilor - rețele intranet (intranet) O rețea corporativă (intranet) este o rețea la nivel de companie care utilizează instrumente software bazate pe stiva de protocoale TCP/IP Extranet-urile sunt înțelese ca o rețea intranet conectată la Internet, adică aceasta este o rețea de tip intranet, dar care autorizează accesul la resursele sale unei anumite categorii de utilizatori, dotați cu autoritatea corespunzătoare Deoarece măsurile de securitate vor fi luate în considerare în cele ce urmează, toate rețelele sunt reprezentate ca rețele locale conectate la Internet Din această considerație, nu este important dacă o anumită rețea folosește tehnologia Web, așa că în cele ce urmează vom numi astfel de rețele rețele corporative Principalele caracteristici ale rețelelor corporative - natura globală a conexiunilor, amploarea și eterogenitatea - reprezintă, de asemenea, un pericol sporit pentru acestea de a-și îndeplini sarcinile funcționale Deoarece protocoalele familiei TCP/IP au fost dezvoltate cu mult timp în urmă, când problema de securitate nu era încă la fel de acută ca acum, acestea au fost dezvoltate în primul rând ca funcționale și ușor de portat, ceea ce a ajutat stiva TCP/IP să se răspândească la mulți platforme informatice În plus, în prezent, atunci când folosesc internetul, intrușii au la dispoziție numeroase mijloace și metode de pătrundere în rețelele corporative Elementele fundamentale ale rețelelor și interconectării Interfuncționarea este înțeleasă ca interacțiunea a două rețele locale, în care acestea funcționează ca unități independente ale rețelei unificate Interconectarea rețelei se referă la metodele de extindere, segmentare și combinare a rețelelor locale în așa fel încât lățimea de bandă totală să fie cât mai mare posibil Dispozitivele de interfuncționare sunt repetoare, poduri, comutatoare, routere și gateway-uri În plus, interconectarea se referă la un set de protocoale care vă permite să organizați schimbul de date între diferite rețele Unul dintre cele mai utilizate seturi de protocoale este familia de protocoale TCP/IP, dezvoltată la ordin al Departamentului de Apărare al SUA Protocoalele TCP/IP au fost dezvoltate la inițiativa Departamentului de Apărare al SUA pentru rețeaua Arpanet, o rețea globală de pachete care a fost demonstrată pentru prima dată în / Model OSI Model TCP/IP Aplicat (Aplicație) Reprezentant (Prezentare) Sesiune Transport (Transport) Rețea (Rețea) Aplicat (Aplicație) Transport (Transport) Rețea (Internetwork) Canal (Legătură de date) Fizic Interfață de rețea (link de date) Mediul fizic (fizic) Orez Structuri de straturi ale stivelor de protocoale Arpanet face în prezent parte din rețeaua globală cunoscută sub numele de Internet Răspândirea enormă a Internetului a dus la faptul că stiva de protocoale de rețea TCP/IP a devenit practic principala în organizarea interconectării Dezvoltat la sfârșitul anilor ai secolului XX setul de protocoale s-a bazat pe o structură de strat, care a servit drept bază pentru dezvoltarea ulterioară a modelului de interconectare a sistemului Orel (Fig ) Orez Numărul de vulnerabilități descoperite de CERT Numarul de inregistrati Orez Numărul de incidente CERT înregistrate Tehnologia acestei stive de protocoale s-a dovedit a fi atât de convenabilă încât a început să fie folosită nu numai pentru lucrul pe Internet, ci și pentru organizarea muncii în rețelele corporative Odată cu creșterea uriașă a numărului de gazde conectate la Internet și creșterea numărului de companii care folosesc tehnologiile Internet pentru a-și desfășura activitatea, numărul incidentelor de securitate a informațiilor (IS) a crescut semnificativ Datele CERT (Computer Emergency Response Team) arată că numărul de vulnerabilități descoperite (Fig ) și numărul de incidente raportate sunt în continuă creștere (Fig ) În ultimii ani, numărul incidentelor raportate a crescut brusc, astfel încât nu au fost publicate date totale privind numărul de incidente raportate pentru anul Vulnerabilitatea unui sistem informatic este înțeleasă ca orice caracteristică, a cărei utilizare de către un intrus poate duce la realizarea unei amenințări O amenințare la adresa unui sistem informațional este un potențial eveniment, acțiune, proces sau fenomen care poate provoca daune (materiale, morale sau de altă natură) resurselor sistemului Până în prezent, sunt cunoscute un număr mare de amenințări diverse, de diverse origini, pline de diverse pericole pentru informații Clasificarea sistemului a amenințărilor este dată în tabel Tipurile de amenințări sunt un parametru fundamental care determină orientarea țintă a protecției informațiilor Aleatoriu se referă la originea amenințărilor, care se datorează spontan și independent de voința oricăruia Tabelul Clasificarea sistemului a amenințărilor Parametrii de clasificare Valorile parametrilor Conținutul valorii Tipuri de amenințări Integritate fizică Structură logică Conținut Confidențialitate Proprietate Distrugerea (distorsiunea) Denaturarea structurii Modificare neautorizată Primire neautorizată, scurgere de informații Însușirea muncii altcuiva Originea amenințărilor Accidental Intenționat Eșecuri, eșecuri, erori Dezastre naturale Efecte secundare Acțiuni umane rău intenționate Condiții preliminare pentru apariția amenințărilor Obiectiv Subiectiv Insuficiență cantitativă și calitativă a elementelor sistemului Spionaj industrial, angajați fără scrupule, elemente criminale și huligane, servicii ale altor state Surse de amenințări Oameni Dispozitive tehnice Modele, algoritmi, programe Diagrame tehnologice de prelucrare a datelor Mediu extern Utilizatori, personal, persoane neautorizate Înregistrare, introducere, prelucrare, stocare, transmitere și emitere Scop general, aplicat, auxiliar Manual, interactiv, intramașină, stare de rețea mediul înconjurător, zgomot secundar, semnale false Circumstanțele care apar în sistemul de prelucrare a datelor în procesul de funcționare a acestuia Cele mai cunoscute evenimente ale acestui plan sunt eșecurile, eșecurile, erorile, dezastrele naturale și efectele secundare: • eșec - o încălcare a operabilității oricărui element al sistemului, ceea ce duce la imposibilitatea îndeplinirii principalelor sale funcții; • defecțiune - o întrerupere temporară a performanței oricărui element al sistemului, care poate avea ca rezultat performanța incorectă a acestuia în acel moment al funcționării sale; • eroare - efectuarea incorectă (o singură dată sau sistematică) a uneia sau mai multor funcții de către un element, care apare ca urmare a stării sale specifice (permanente sau temporare); • efect secundar - un impact negativ asupra sistemului în ansamblu sau asupra elementelor sale individuale, furnizat de orice fenomene care au loc în cadrul sistemului sau în mediul extern Originea intenționată a unei amenințări este determinată de acțiunile rău intenționate ale persoanelor efectuate în scopul implementării unuia sau mai multor tipuri de amenințări Se remarcă două tipuri de premise pentru apariția amenințărilor: obiective (insuficiența cantitativă sau calitativă a elementelor sistemului) și subiective (activități ale serviciilor de informații ale statelor străine, spionaj industrial, activități ale elementelor criminale și huliganiste, acțiuni răuvoitoare ale lipsite de scrupule) angajații sistemului) Tipurile de cerințe preliminare enumerate sunt interpretate după cum urmează: • insuficiență cantitativă - o lipsă fizică a unuia sau mai multor elemente ale sistemului de prelucrare a datelor, care provoacă încălcări ale procesului tehnologic de prelucrare și (sau) supraîncărcare a elementelor existente; • insuficiență calitativă - imperfecțiune a proiectării (organizării) elementelor sistemului, din cauza căreia pot exista oportunități de impact negativ accidental sau deliberat asupra informațiilor prelucrate sau stocate; • activități ale serviciilor de informații ale statelor străine - activități special organizate ale organelor de stat orientate profesional pe obținerea informațiilor necesare prin toate metodele și mijloacele disponibile; • spionaj industrial - activitatea sub acoperire a unei organizații (reprezentanții acesteia) de a obține informații special protejate împotriva scurgerii sau furtului neautorizat, precum și pentru a-și crea condiții favorabile pentru a obține un beneficiu maxim; • acțiuni ale elementelor criminale și huliganiste - furtul de informații sau de programe informatice în scop de profit sau distrugerea acestora în interesul concurenților; • acțiuni rău intenționate ale angajaților fără scrupule - furtul (copierea) sau distrugerea matricelor de informații și (sau) a programelor din motive egoiste sau mercenare Sursele amenințărilor sunt oamenii, dispozitivele tehnice, programele și algoritmii, schemele tehnologice de prelucrare a datelor și mediul extern: • oameni - personal, utilizatori și persoane din afară care pot interacționa cu resursele și datele organizației direct de la locurile lor de muncă și de la distanță folosind rețele; • mijloace tehnice - legate direct de prelucrarea, stocarea și transmiterea informațiilor (de exemplu, instrumente de înregistrare a datelor, instrumente de introducere etc ), și auxiliare (de exemplu, alimentare cu energie, aer condiționat etc ); • modele, algoritmi și programe - acest grup de surse este considerat ca fiind deficiențe de proiectare, implementare și configurare (funcționare) și se numește deficiențe software (de uz general, aplicat și auxiliar); • schema tehnologică de prelucrare a datelor - alocă scheme tehnologice manuale, interactive, în mașină și în rețea; • mediul extern - evidențiază starea mediului (posibilitatea de incendii, cutremure etc ), zgomotul fals (mai ales periculos în timpul transmisiei de date) și semnalele false (de exemplu, radiațiile electromagnetice ale echipamentelor) Principalele motive pentru scurgerea de informații sunt: • nerespectarea de către personal a normelor, cerințelor, regulilor de funcționare; • erori în proiectarea sistemului și a sistemelor de protecție; • conduita de către partea opusă a informațiilor tehnice și secrete Nerespectarea de către personal a normelor, cerințelor, regulilor de funcționare poate fi atât intenționată, cât și neintenționată Acest caz diferă de informațiile secrete prin partea adversă prin faptul că, în acest caz, persoana care comite acțiuni neautorizate este condusă de motive personale Cauzele scurgerii de informații sunt strâns legate de tipurile de scurgeri de informații În conformitate cu GOST R - , sunt luate în considerare trei tipuri de scurgeri de formare: • dezvăluire; • acces neautorizat la informații; • primirea de informații protejate de către agențiile de informații (atât interne, cât și străine) Dezvăluirea informațiilor este înțeleasă ca comunicarea neautorizată a informațiilor protejate către consumatorii care nu au dreptul de a accesa informațiile protejate Acces neautorizat se înțelege ca primirea de informații protejate de către un subiect interesat cu încălcarea drepturilor stabilite prin acte legale sau de către deținătorul informațiilor, titularul drepturilor sau regulilor de acces la informațiile protejate În același timp, statul, o persoană juridică, un grup de persoane fizice (inclusiv o organizație publică), o persoană fizică poate fi subiect interesat care exercită acces neautorizat la informații Obținerea informațiilor protejate este inteligență și poate fi realizată folosind mijloace tehnice (intelligence tehnică) sau metode sub acoperire (intelligence sub acoperire) Un canal de scurgere de informații este o combinație între o sursă de informații, un purtător de material sau un mediu de distribuție pentru un semnal care transportă informațiile specificate și un mijloc de extragere a informațiilor din semnal sau purtător Una dintre principalele proprietăți ale canalului este localizarea mijloacelor de extragere a informațiilor din semnal sau purtător, care pot fi situate în zona controlată care cuprinde sistemul sau în afara acestuia În plus, vom lua în considerare doar amenințările asociate cu interacțiunea inter-rețea Securitatea informațiilor De la mijlocul anilor ai secolului XX a devenit clar că Internetul poate fi folosit nu numai ca un canal alternativ pentru obținerea de informații, ci și ca o alternativă viabilă din punct de vedere economic Dezvoltarea tehnologiei informatice, a telecomunicațiilor, miniaturizarea echipamentelor a condus la dezvoltarea unei noi generații de infrastructură informațională Concurența și atractivitatea ridicată a investițiilor au asigurat o creștere asemănătoare unei avalanșe a numărului de întreprinderi și organizații care folosesc infrastructura și tehnologiile internetului ca canale de obținere a informațiilor necesare activității economice Securitatea informațiilor este înțeleasă ca fiind protecția informațiilor și a infrastructurii suport împotriva impacturilor accidentale și intenționate de natură naturală sau artificială, pline de prejudicii aduse proprietarilor sau utilizatorilor de informații și infrastructurii suport Problemele de securitate a informațiilor au fost studiate în diferite țări de mult timp În prezent, există un punct de vedere general acceptat asupra fundamentelor conceptuale IB Esența sa constă în faptul că abordarea pentru asigurarea securității informațiilor ar trebui să fie cuprinzătoare, combinând diferite măsuri de securitate la următoarele niveluri: • legislative (legi, regulamente, standarde); • administrative (acţiuni cu caracter general întreprinse de conducerea organizaţiei); • procedurale (măsuri de securitate implementate de personal); • software și hardware (măsuri tehnice specifice) Atunci când se asigură securitatea informației, există două aspecte: formale - definirea criteriilor pe care trebuie să le îndeplinească tehnologiile informaționale securizate și practice - definirea unui set specific de măsuri de securitate în raport cu tehnologia informației în cauză Indiferent de dimensiunea organizației și de specificul sistemului său informațional, munca pentru a asigura modul IS într-o formă sau alta ar trebui să includă următorii pași: • definirea politicii de securitate a informațiilor; • definirea sferei (limitelor) sistemului de management al securității informațiilor și precizarea scopurilor creării acestuia; • evaluare a riscurilor; • Managementul riscurilor; • selectarea contramăsurilor care asigură modul IS; • auditul sistemului de management al securității informațiilor Esența securității informațiilor este protecția obiectelor informaționale ale unei organizații și a proceselor de afaceri pe care le suportă, în contextul: • confidențialitate - informațiile sunt disponibile numai pentru cei care sunt autorizați să acceseze; • integritate - sunt garantate acuratețea și completitudinea informațiilor și a metodelor de prelucrare; • Disponibilitate-Informațiile și obiectele asociate sunt disponibile la cererea utilizatorilor autorizați Comunitatea internațională a stabilit nouă principii pentru asigurarea securității sistemelor informaționale (IS) și a rețelelor: ) conștientizare (conștientizare) - participanții ar trebui să fie conștienți de necesitatea securității sistemelor și rețelelor de informații și a ceea ce se poate face pentru a îmbunătăți securitatea; ) responsabilitate (responsabilitate) - toți participanții sunt responsabili pentru securitatea SI și a rețelelor; ) răspuns (răspuns) - participanții trebuie să acționeze simultan și în comun pentru a proteja, detecta și răspunde la incidente de securitate; " ) etica (etica) - participanții trebuie să respecte interesele legitime ale celuilalt; ) democrație (democrație) - securitatea IP și a rețelelor ar trebui să fie compatibilă cu principalele valori ale unei societăți democratice; ) evaluarea riscurilor (evaluarea riscului) - participanții trebuie să efectueze o evaluare a riscurilor; ) planificarea (proiectarea) și aplicarea securității (proiectarea și implementarea securității) - participanții trebuie să includă mecanisme de securitate în IS și rețele; ) managementul securității - participanții trebuie să utilizeze o abordare cuprinzătoare a managementului securității; ) reevaluare (reevaluare) - participanții ar trebui să revizuiască și să reevalueze securitatea SI și a rețelelor și să facă modificările corespunzătoare politicilor, practicilor, evaluărilor și procedurilor de securitate Protecția obiectelor informaționale este cea mai importantă sarcină a organizației Managementul riscului de securitate a informațiilor este o parte integrantă a procesului de management al riscului al organizației Schema de control IS este prezentată în fig Elementul fundamental al protecției este definirea politicii de securitate a sistemului protejat Orez Schema de management al securității informațiilor Politică de securitate O politică de securitate a informațiilor (sau politică de securitate) este un plan la nivel înalt care descrie scopurile și obiectivele organizației, precum și activitățile din domeniul securității Politica descrie securitatea în termeni generali, fără detalii specifice Acesta oferă planificarea întregului program de securitate Politica de securitate a informațiilor ar trebui să protejeze îndeplinirea sarcinilor organizației sau protecția procesului de afaceri Mijloacele de suport pentru procesele de afaceri (procesul de afaceri) sunt hardware și software care ar trebui să fie acoperite de o politică de securitate (SP) Prin urmare, un inventar complet al sistemului, inclusiv o hartă a rețelei, ar trebui să fie considerată sarcina principală La întocmirea unei hărți de rețea, este necesar să se determine fluxurile de informații din fiecare sistem O diagramă a fluxului de informații poate arăta modul în care fluxurile de informații susțin procesele de afaceri, precum și domeniile în care este important să protejați informațiile și să luați măsuri suplimentare pentru a asigura supraviețuirea În plus, folosind această schemă, puteți determina locurile în care informațiile ar trebui prelucrate, cum ar trebui să fie stocate, înregistrate, duplicate, mutate și controlate aceste informații Inventarul, pe lângă hardware și software, ar trebui să acopere și resurse non-computer, cum ar fi documentația software, documentația hardware, documentația procesului etc Aceste documente pot conține informații referitoare la specificul organizației comerciale și pot prezenta, de asemenea, domenii care pot fi folositi infractori Definiția unei politici de securitate a informațiilor ar trebui redusă la următorii pași practici Determinarea documentelor directoare și standardelor utilizate în domeniul securității informațiilor, precum și a principalelor prevederi ale politicii de securitate a informațiilor, inclusiv: • gestionarea accesului la facilitati informatice (CVT), programe si date; • protectie antivirus; • probleme de backup; • efectuarea de lucrări de reparații și restaurare; • informarea cu privire la incidentele de securitate a informațiilor Determinarea abordărilor privind managementul riscului: este suficient nivelul de bază de securitate sau este necesar să se realizeze o versiune completă a analizei de risc Determinarea cerințelor pentru regimul de securitate a informațiilor Structurarea contramăsurilor pe niveluri Stabilirea procedurii de certificare pentru conformitatea cu standardele din domeniul I&B Stabilirea frecvenței întâlnirilor pe teme SI la nivel de management, inclusiv revizuirea periodică a prevederilor politicii SI, precum și procedura de instruire a tuturor categoriilor de utilizatori ai sistemului informațional pe probleme de SI Politica de securitate reală a unei organizații poate include următoarele secțiuni: • Dispoziții generale; • politica de gestionare a parolelor; • identificarea utilizatorului; • permisiuni de utilizator; • protecția resurselor informaționale ale organizației împotriva virușilor informatici; • reguli pentru stabilirea și controlul conexiunilor la rețea; • regulile politicii de securitate pentru lucrul cu sistemul de e-mail; • reguli pentru asigurarea securității resurselor informaționale; • obligațiile utilizatorilor de a respecta regulile PB etc O politică de securitate nu ar trebui să fie un document "mort" Regulile trebuie să se schimbe și să evolueze pe măsură ce organizația în sine se dezvoltă, apar noi tehnologii, sisteme și tehnologii proiecte Pentru a face acest lucru, este necesar să revizuiți periodic regulile Una dintre metodele de revizuire a politicii de securitate, în special, este auditul sistemelor informaționale Prin urmare, putem spune că politica de securitate a organizației și, bineînțeles, politica de securitate a informațiilor au propriul ciclu de viață Ciclul de viață al unei politici de securitate este prezentat în fig Nu există un interval de timp stabilit pentru cât de des trebuie revizuite regulile Cu toate acestea, se recomandă ca această perioadă să fie între șase luni și un an După elaborarea și implementarea regulilor de securitate, utilizatorii ar trebui să fie familiarizați cu cerințele de securitate a informațiilor, iar personalul ar trebui să primească o instruire adecvată În cazul unor incidente, lucrările trebuie efectuate în conformitate cu planurile elaborate Șabloane de politici de securitate Politica de securitate a unei organizații este un document care descrie cerințe sau reguli specifice care trebuie respectate În domeniul securității informațiilor și rețelei, politicile sunt de obicei specifice domeniului de aplicare Un standard este o colecție de cerințe specifice sistemului sau specifice procedurii pe care fiecare utilizator trebuie să le respecte Cele mai importante organizații de securitate a informațiilor au dezvoltat șabloane PB De exemplu, Institutul SANS (System Administration, Net-working, and Security) a dezvoltat o serie de diferite șabloane PB (www sans org/resources/policies/) Aceste șabloane includ, de exemplu, următoarele politici: • politică de criptare acceptabilă - definește cerințele pentru algoritmii criptografici utilizați în organizație; • politica de utilizare acceptabilă - definește utilizarea echipamentelor și a serviciilor informatice pentru a proteja utilizatorii, resursele organizației și informațiile în sine; • protectie antivirus - defineste principiile de baza pentru reducerea eficienta a amenintarii virușilor informatici asupra rețelei organizației; • Politica de evaluare a achizițiilor - definește capacitatea organizației de a achiziționa produse de securitate și definește cerințele minime pentru evaluarea achizițiilor efectuate de echipa de securitate a informațiilor; • Politica de audit pentru scanarea vulnerabilităților - definește cerințele și numește o persoană responsabilă cu însoțirea auditului și a evaluării riscurilor pentru a verifica integritatea resurselor de informații, a investiga incidentele, a stabili respectarea politicilor de securitate sau monitorizarea activității utilizatorilor și a sistemului; • Politica de corespondență automată - Documentează cerința ca niciun mesaj să nu fie redirecționat automat către o sursă externă fără aprobarea corespunzătoare din partea unui manager sau director; • politica de codificare a autorizației bazei de date (DB) - definește cerințele pentru stocarea în siguranță și regăsirea numelor de utilizator și parolelor bazei de date; • politica de acces prin dial-in - definește accesul adecvat și utilizarea acestuia de către persoanele autorizate; • Politica de securitate DMZ - definește standardele pentru toate rețelele și echipamentele utilizate într-un laborator situat în DMZ sau pe segmente de rețea externe; • Politica privind informațiile critice - definește cerințele de clasificare și securitate pentru informațiile unei organizații prin alocarea unor niveluri adecvate de confidențialitate; • politica de protectie a parolelor - defineste standardele pentru crearea, protejarea si schimbarea parolelor; • politica de acces la distanta - defineste standardele de conectare la reteaua organizatiei de la orice gazda sau retea care este externa organizatiei; • politica de evaluare a riscurilor - definește cerințele și numește o persoană responsabilă cu identificarea, evaluarea și reducerea riscului infrastructurii informaționale a organizației asociate cu suportul de afaceri; • politica de securitate a routerului - definește standardele minime de configurare de securitate pentru routere și comutatoare din cadrul rețelei unei organizații sau utilizate pentru lucru (producție); • politica de securitate a serverului - definește standardele minime de configurare de securitate pentru serverele din rețeaua unei organizații sau utilizate ca produse; • Politica de securitate VPN - definește cerințele pentru acces la distanță IPSec sau L TP VPN la rețeaua organizației; • Politică fără fir - Definește standardele pentru sistemele fără fir utilizate pentru a se conecta la rețeaua unei organizații Prin urmare, pe baza specificului construcției și funcționării organizației, se formează un set adecvat de politici de securitate a organizației Politica de securitate a rețelei joacă un rol special în asigurarea securității interacțiunii interfuncționale Politica de securitate a rețelei Când specificați un PB de rețea, trebuie să definiți proceduri pentru a vă proteja rețeaua, conținutul și utilizatorii împotriva daunelor și pierderilor Din acest punct de vedere, rețeaua PB joacă rolul de a impune BP global definit în organizație Network PB se concentrează pe controlul traficului de rețea și a utilizării acestuia Acesta definește resursele și amenințările rețelei, utilizarea și capabilitățile rețelei, precum și planuri detaliate de urgență în cazul unei încălcări a SIS Când aplicați un PB de rețea, trebuie să implementați strategic limitele de securitate în rețeaua dvs Aceste limite strategice sunt numite perimetre ale rețelei Prin setarea nivelurilor de securitate pentru perimetrele rețelei, puteți exercita un control multiplu asupra securității traficului de rețea Pentru a stabili perimetrele rețelei, este necesar să se definească computere și rețele protejate, precum și să se definească mecanisme de protecție pentru acestea Unul dintre principalele astfel de elemente este firewall-ul Pentru a stabili un perimetru de securitate de succes, firewall-ul (FW) trebuie să fie poarta de acces pentru toate comunicațiile dintre rețelele de încredere, nede încredere și necunoscute Fiecare rețea poate conține multe perimetre interne Pentru a înțelege modul în care perimetrele rețelei sunt poziționate unul față de celălalt, luați în considerare două tipuri de perimetre de rețea: extern și intern În cel mai simplu caz, perimetrul de rețea al unei organizații include perimetre externe și interne (Fig ) Perimetrul rețelei externe identifică punctul de despărțire între dispozitivele care sunt monitorizate și cele care nu sunt De obicei, acest punct este un router care este folosit pentru a-și separa rețeaua de rețeaua ISP-ului Orez Perimetrul rețelei organizației: - router; - firewall Perimetrul rețelei interne este o limită suplimentară care găzduiește alte mecanisme de securitate, cum ar fi firewall-urile și routerele de filtrare În acest caz, perimetrele exterioare și interioare sunt determinate de locația routerelor exterioare și interioare și a ME Amplasarea firewall-ului între routerele interne și externe oferă cea mai mare protecție suplimentară împotriva atacurilor din ambele părți, dar reduce semnificativ traficul pe care firewall-ul trebuie să-l examineze, deoarece nu trebuie să se uite la pachetele care circulă în rețeaua internă Din punctul de vedere al utilizatorilor rețelelor externe, ME reprezintă toate computerele disponibile în rețeaua de încredere Acesta definește punctul central prin care trebuie să treacă toate conexiunile dintre două rețele Perimetrul rețelei externe este zona cea mai nesigură a infrastructurii de rețea a unei organizații De obicei, această zonă este rezervată pentru routere, IW-uri și servere publice de Internet, cum ar fi HTTP, FTP sau e-mail Deoarece această zonă este ușor de accesat, este zona cel mai frecvent atacată (de obicei pentru a obține acces la rețeaua internă prin intermediul acesteia) Prin urmare, datele sensibile destinate exclusiv utilizării interne nu ar trebui să fie localizate în perimetrul rețelei externe Puteți utiliza mai multe FI interne pentru a configura mai multe perimetre interne de rețea (Figura ) Utilizarea firewall-urilor interne vă permite să restricționați accesul la resursele rețelei interne partajate Rețelele de încredere sunt rețele din perimetrul de securitate al rețelei Rețelele de încredere sunt rețele care ; perimetrul exterior; Inner perimeter J Inner perimeters; '' al doilea nivel Orez Multe perimetre interne ale rețelei: - router; - firewall asupra cărora specialiştii organizaţiei au control administrativ deplin Când instalați ME, este necesar să identificați cu precizie tipurile de rețele care sunt conectate la ME prin adaptoare de rețea După configurarea inițială, rețelele de încredere includ ME și toate rețelele din spatele acestuia Rețelele neîncrezătoare sunt rețele care se află în afara perimetrului stabilit de rețea Nu au încredere pentru că sunt scăpați de sub control La instalarea paravanului de protecție, este, de asemenea, necesar să se definească cu precizie rețelele nede încredere de la care paravanul de protecție poate accepta cereri Rețelele necunoscute sunt rețele care nu sunt nici de încredere, nici de încredere Rețele necunoscute există în afara perimetrului de securitate (în mod implicit, toate rețelele necunoscute sunt tratate ca necunoscute) Zona perimetrului rețelei exterioare se numește zonă demilitarizată (Zona demilitarizată, DMZ) Zona demilitarizată - conform dreptului internațional, teritoriul pe care au fost eliminate fortificațiile și instalațiile militare, întreținerea forțelor armate este interzisă În limba rusă, există o denumire mai potrivită - "zonă neutră" (un teritoriu, o zonă geografică în care, printr-un acord internațional sau o decizie a statului căruia îi aparține, desfășurarea de instalații militare, pregătirea și desfășurarea ostilităților sunt interzis) Deoarece abrevierea DMZ a prins rădăcini în publicațiile de pe Internet și pe computer, o vom folosi O parte importantă a politicii de securitate este politica de securitate a rețelei sau politica de conexiune la rețea Politica de conectare la rețea trebuie să definească tipurile de dispozitive cărora li se permite să se conecteze la rețea Ar trebui să definească în detaliu setările sistemelor care pot fi conectate la rețea Această politică poate include următoarele secțiuni: • o descriere a procesului de instalare și configurare a sistemului de operare (OS) și a aplicațiilor, precum și a funcționalității acestora care poate fi utilizată; • amplasarea în rețea (subrețea fizică) a sistemelor de un anumit tip și procedura de rezolvare a problemelor de abordare în rețea; • cerința de a instala și actualiza periodic software antivirus; • descrierea stabilirii drepturilor de utilizator și a protecției resurselor furnizate de sistemul de operare; • procedurile de urmat pentru crearea unui nou cont de utilizator și proceduri similare pentru ștergerea acestuia; • Nu instalaţi componente hardware sau software suplimentare fără aprobarea administratorului de reţea (sau a altei persoane responsabile) Apărare stratificată Apărarea în profunzime în literatura informatică modernă se referă la o strategie practică pentru realizarea asigurării informației în echipamentele de rețea Această strategie este un echilibru între proprietățile de protecție și cost, performanță și funcționalitate Asigurarea informațiilor se realizează atunci când informațiile și sistemele informaționale sunt protejate împotriva atacurilor prin aplicarea unor servicii de securitate precum disponibilitatea, integritatea, autentificarea, confidențialitatea și non-repudierea Aplicațiile care implementează aceste servicii ar trebui să se bazeze pe paradigma de apărare, detecție și răspuns Atingerea asigurării informaționale a unei strategii de apărare în profunzime necesită găsirea unui echilibru a trei elemente principale Personal - Realizarea asigurarii informatiilor incepe de la nivelul de management al organizatiei Personalul de conducere trebuie să fie clar cu privire la posibilele amenințări la adresa atingerii obiectivelor organizației Aceasta ar trebui să fie urmată de un inventar al resurselor, definirea politicilor și procedurilor pentru asigurarea asigurării informațiilor, alocarea rolurilor de personal și definirea responsabilităților Aceasta include, de asemenea, procedurile de protecție fizică și măsurile de securitate a personalului Tehnologie - Pentru a ne asigura că suficiente tehnologii sunt selectate și aplicate corect, trebuie dezvoltate și implementate politici și proceduri eficiente de asigurare a informațiilor Acestea ar trebui să includă: politica de securitate, arhitectura și standardele la nivel de sistem, criteriile de selectare a produselor necesare, specificațiile pentru configurarea componentelor sistemului și procedurile de evaluare a riscurilor Operațiuni funcționale - Acest aspect se concentrează pe toate activitățile de zi cu zi necesare pentru menținerea securității organizației Compoziția unor astfel de operațiuni funcționale poate include, de exemplu, următoarele operațiuni: dezvoltarea, instalarea și întreținerea politicii de securitate (politici de securitate); verificarea și certificarea modificărilor în tehnologiile informaționale utilizate; managementul mediilor instalate masuri de securitate; control și răspuns la amenințările actuale; detectarea atacurilor și răspunsul; proceduri pentru restaurarea și reinstalarea componentelor tehnologiei informației etc Strategia de apărare în profunzime recomandă aplicarea următoarelor principii de asigurare a informațiilor pentru tehnologie: • aplicarea protecţiei în mai multe locuri Întrucât intrușii pot ataca un sistem din mai multe locuri, inclusiv din exterior și din interior, o organizație trebuie să aplice mecanisme de apărare în diferite puncte, care să asigure protecția rețelelor și infrastructurii, protecția limitelor rețelei și a teritoriului și protecția echipamentelor informatice; • utilizarea protecției stratificate presupune instalarea unor mecanisme de protecție între un potențial intrus și țintă; • determinarea rezilienței securității se realizează prin evaluarea capacităților de securitate ale fiecărei componente de asigurare a informațiilor; • aplicarea infrastructurii de detectare a atacurilor și intruziunilor, utilizarea metodelor și mijloacelor de analiză și corelarea rezultatelor obținute de această infrastructură Conceptul de apărare în profunzime este în prezent general acceptat, prin urmare, producătorii de echipamente de protecție îl implementează prin lansarea unor linii întregi de echipamente de protecție care funcționează împreună și sunt de obicei controlate de un singur dispozitiv de control Managementul riscurilor Una dintre cele mai importante sarcini ale managementului I&D este managementul riscului Managementul riscului acoperă trei procese: evaluarea riscului, reducerea riscului, aplicarea rezultatelor evaluării Managementul riscului este procesul care permite managerilor de tehnologia informației (IT) să echilibreze costurile operaționale și economice ale acțiunilor de protecție și să atingă obiectivele de protecție a sistemelor IT și a datelor care le susțin misiunea organizațională Prin urmare, managementul riscului este una dintre principalele sarcini și responsabilități ale managementului organizației Managementul riscului de securitate a informațiilor este un proces iterativ care necesită monitorizare și revizuire periodică Noțiuni de bază " Managementul riscului utilizează un cadru conceptual care este în prezent standardizat Resursele sunt ceea ce o organizație apreciază și dorește să le protejeze Resursele includ informații și suport de care o organizație are nevoie pentru a-și conduce afacerea Exemple de resurse sunt: • informaţii (date), adică fișiere cu detalii de plată, înregistrări audio, fișiere imagine, informații despre produse, descrieri și planuri; • documente pe hârtie (contracte, formulare completate); • software (software de sistem, software de aplicație, instrumente de dezvoltare și utilități); • echipamente fizice (calculatoare și echipamente de comunicații, medii magnetice, alte echipamente tehnice); • servicii (informatica si comunicatii, furnizori de servicii, utilitati); • oamenii și cunoștințele acestora (tehnice, operaționale, de marketing, juridice, financiare); • imaginea și reputația organizației Fiecare resursă trebuie să primească o valoare Valorile resurselor sunt folosite pentru a identifica protecția adecvată și pentru a determina importanța resurselor pentru afacere Valorile pot fi exprimate în termeni de impact potențial de afaceri al evenimentelor nedorite care au ca rezultat pierderea confidențialității, integrității și/sau disponibilității Impactul potențial poate include pierderi financiare, o scădere a veniturilor și a acțiunilor de pe piață sau o scădere a prestigiului O amenințare este o cauză potențială a unui eveniment nedorit care poate cauza prejudicii unei organizații și a instalațiilor acesteia Amenințările pot fi naturale (inundație, inundație, cutremur), intenționate sau accidentale Rezultatul implementării amenințării poate fi: • distrugerea obiectului (mijloace, date, echipamente, comunicații); • deteriorarea sau modificarea unui obiect (date, aplicații); • furtul, îndepărtarea sau pierderea unui obiect (echipament, date, aplicații); • dezvăluirea obiectului (datelor); • utilizarea sau introducerea unui obiect ilegal (echipament, software fără licență, date false); • întreruperea serviciului O amenințare necesită implementarea vulnerabilității unui obiect pentru a provoca daune Vulnerabilitățile sunt punctele slabe asociate cu resursele unei organizații O vulnerabilitate este o condiție sau un set de condiții care pot permite unei amenințări să afecteze un obiect sau cu mai multă frecvență, sau cu mai multă influență, sau împreună De obicei, o vulnerabilitate este rezultatul unor proceduri prost dezvoltate, erori ale personalului neprofesionist, configurații incorecte sau tehnologie de cercetare Pentru ca o vulnerabilitate să fie exploatată, aceasta trebuie să fie cunoscută sau implementată de o amenințare Riscul de securitate este capacitatea unei anumite amenințări de a implementa vulnerabilități pentru a provoca daune sau distrugere unei resurse sau unui grup de resurse care afectează direct sau indirect organizația Nivelul de risc de securitate este determinat de o combinație de valori ale resurselor, nivelurile evaluate ale amenințărilor relevante și vulnerabilitățile asociate acestora Controalele de securitate sunt practici, proceduri și mecanisme care pot proteja obiectele de amenințări, pot atenua vulnerabilitățile sau pot reduce impactul evenimentelor nedorite Procesul de evaluare a riscurilor Evaluarea riscului este procesul principal în metodologia de management al riscului Riscul este o funcție a probabilității ca o anumită sursă de amenințare să implementeze o anumită vulnerabilitate potențială și impactul rezultat al unui eveniment nedorit asupra organizației Relația dintre componentele evaluării riscului este prezentată în fig Pentru a determina probabilitatea unor evenimente nedorite viitoare, amenințările la adresa sistemului IT trebuie luate în considerare împreună cu potențialele vulnerabilități și legate de o locație din sistemul IT Impactul este legat de cantitatea de daune care poate fi cauzată de amenințarea care implementează vulnerabilitatea Nivelul impactului este determinat de scopul potențial al impactului și i se acordă o valoare relativă pentru resursa IT și resursele pe care le afectează (adică criticitatea și sensibilitatea componentelor și datelor IT) Evaluarea globală a riscului include următorii pași: ) caracteristicile sistemului; ) identificarea amenințărilor; ) identificarea vulnerabilităților; ) analiza mijloacelor de protecţie (control); ) determinarea probabilităţilor (clasificarea frecvenţelor de apariţie); ) analiza impactului; ) identificarea riscului; • ) recomandări privind mijloacele de protecţie (control); ) documentatia rezultata Orez Relațiile dintre componentele evaluării riscurilor Caracteristica sistemului Include o descriere a sistemului, componentelor sistemului, elementelor sistemului, utilizatorilor și așa mai departe De asemenea, include localizarea părților (diviziunilor) organizației, principalele fluxuri de informații, clasificarea informațiilor și alte informații necesare care pot fi utilizate în pașii următori Identificarea amenințărilor Sursa amenințărilor este fie o explorare deliberată și metodică a țintei în căutarea unor vulnerabilități, fie o situație și o metodă care duce accidental la o vulnerabilitate O sursă de amenințare este definită ca orice circumstanță sau eveniment care are potențialul de a deteriora un sistem IT (Tabelul ) Pentru a identifica vulnerabilitățile sistemului, se recomandă utilizarea surselor de amenințări, a rezultatelor testelor de securitate a sistemului și a unei liste de verificare a securității Tipurile de vulnerabilități și metodologiile de determinare a acestora depind de obicei de natura sistemului IT și de faza ciclului său de viață: • dacă sistemul IT nu a fost încă proiectat, atunci căutarea vulnerabilităților se concentrează pe securitatea organizațională, procedurile de securitate planificate, definirea cerințelor de sistem și revizuirea documentelor de la furnizorii de securitate; • dacă un sistem IT este deja în uz, atunci identificarea ar trebui extinsă pentru a include informații suplimentare; Tabelul Sursele și descrierile amenințărilor Sursa amenințării Motivație Acțiunea amenințării Hackerii provoacă rebeliunea Stima de sine Hacking Inginerie socială Acces neautorizat Elemente criminale Distrugerea informațiilor Câștig monetar Furt de date Ostilitate Intruziune în sistem Navigarea datelor Terorişti Distrugerea datelor Obţinerea de beneficii Utilizarea resurselor Războiul informaţional Refuzarea serviciului Intrarea în sistem Spionajul industrial Spionajul economic Lupta competitivă Furtul de informații Intrarea în sistem Acces neautorizat Utilizatori (interne) Erori aleatorii Câștig monetar Resentimente Vizualizarea datelor Acces neautorizat cum ar fi, de exemplu, conformitatea proprietăților de siguranță descrise în documentația de siguranță cu rezultatele testelor și testelor de certificare; • Dacă sistemul IT este operațional, atunci procesul de identificare a vulnerabilităților ar trebui să includă o analiză a proprietăților de securitate ale sistemului IT și controalele de securitate (tehnice și procedurale) utilizate pentru protejarea sistemului Identificarea vulnerabilităților Vulnerabilitățile tehnice și non-tehnice asociate echipamentelor de procesare ale unui sistem informatic pot fi identificate prin aplicarea tehnologiilor de culegere a informațiilor Internetul este o altă sursă importantă de date despre vulnerabilități Adesea, vulnerabilitățile cunoscute ale sistemului sunt publicate online de dezvoltatori împreună cu remedii Se pot aplica și alte surse documentate, de exemplu: • rezultatele evaluărilor anterioare ale riscurilor; • Rapoarte de audit al sistemului IT, rapoarte de anomalii ale sistemului, rapoarte de revizuire a securității, rapoarte (r) teste și evaluări ale sistemului; • liste de vulnerabilități, de exemplu din baze de date de vulnerabilități; • buletine de informare privind siguranța; • buletine informative ale producătorilor; • societăţi comerciale care efectuează funcţii de audit al securităţii informaţiei; • analiza de securitate a software-ului de sistem; • testarea securității sistemului Pentru a evalua prezența reală a vulnerabilităților, metodele de testare (inclusiv testarea sistemului) pot fi utilizate pentru a identifica vulnerabilitățile sistemului, în funcție de criticitatea sistemului IT și de resursele disponibile (adică bugetul alocat, tehnologia disponibilă, disponibilitatea personalului calificat pentru efectuarea testării) ) Metodele de testare includ: • mijloace de scanare automată a vulnerabilităților; • teste și evaluare a siguranței; • teste de penetrare Scanerele automate de vulnerabilitate sunt folosite pentru a scana grupuri de gazde sau o rețea pentru servicii vulnerabile cunoscute Trebuie remarcat faptul că unele vulnerabilități potențiale identificate de un astfel de instrument automatizat pot să nu reprezinte vulnerabilități reale în contextul hardware-ului sistemului real al unei organizații Testarea și evaluarea securității pot fi utilizate pentru a identifica vulnerabilități în timpul procesului de evaluare a riscurilor Acestea includ dezvoltarea și execuția planului de testare (adică dezvoltarea de software de testare, proceduri de testare, rezultatele așteptate ale testelor) Scopul testării este de a testa eficacitatea controalelor de securitate în sistemul IT, adică modul în care se aplică în echipamentele de operare Scopul este de a se asigura că controlul aplicațiilor îndeplinește specificațiile de securitate pentru software și hardware În plus, se evaluează modul în care controlul aplicațiilor este aliniat cu cerințele existente (de exemplu, standardele) Testele de penetrare pot fi utilizate pentru a evalua controalele de securitate și pentru a se asigura că diferite aspecte ale unui sistem IT sunt protejate Testele de penetrare pot fi folosite pentru a evalua capacitatea unui sistem IT de a rezista încercărilor de a încălca securitatea sistemului Scopul acestora este de a testa sistemul informatic din perspectiva unui terț pentru a identifica potențiale defecțiuni în sistemele de securitate ale sistemului informatic Pe baza analizei vulnerabilităților, este compilată o listă a vulnerabilităților sistemului care pot fi cauzate de potențiale surse de amenințări Analiza mijloacelor de protecție (control) Scopul acestui pas este de a analiza protecțiile (controalele) aplicate sau planificate a fi aplicate în organizație pentru a minimiza sau elimina probabilitatea unei vulnerabilități implementată de o sursă de amenințare Determinarea probabilităților (clasificarea frecvențelor de apariție) Pentru a obține un scor general de probabilitate care să indice probabilitatea ca o potențială vulnerabilitate să poată fi implementată în proiectarea echipamentului asociat cu amenințarea, pot fi luați în considerare următorii factori: • forța motrice (motivația) și capacitatea sursei amenințărilor; • natura vulnerabilității; • existenţa şi eficacitatea controlului curent Deoarece este dificil de cuantificat probabilitățile, scalele fuzzy sunt utilizate în mod obișnuit De exemplu, probabilitatea ca o potențială vulnerabilitate să poată fi realizată de o anumită sursă de amenințare poate fi descrisă ca mare, medie sau scăzută (Tabelul ) Rezultatul acestui pas este estimări clasificate ale frecvențelor de apariție Analiza impactului În analiza impactului, scopul este de a determina impactul nedorit al implementării cu succes a vulnerabilităților prin amenințări Pentru a face acest lucru, trebuie să obțineți următoarele informații: • misiunea sistemului (adică procesele realizate de sistemul informatic); • criticitatea sistemului și a datelor (adică valoarea sau importanța sistemului pentru organizație); • sensibilitatea sistemului și a datelor Gradul de influență este de asemenea evaluat printr-o scară neclară (Tabelul ) Tabelul Valori ale nivelului de probabilitate Nivelul de frecvență Descrierea frecvenței Sursa High Threat este foarte motivată și are o capacitate semnificativă, controalele existente pentru a proteja împotriva implementării sunt ineficiente Medie Sursa amenințărilor este motivată și are capacitatea de a exploata vulnerabilități, dar controlul existent complică exploatarea vulnerabilității Sursa de amenințare scăzută are motivație și abilitate insuficiente, controlul protejează sau complică semnificativ exploatarea vulnerabilității treizeci Tabelul Evaluarea gradului de influență Valoarea influenței Descrierea influenței Înalt Implementarea unei vulnerabilități poate cauza pierderi costisitoare de resurse materiale, vătămări, daune semnificative reputației sau vătămări personale Medie Implementarea unei vulnerabilități poate cauza pierderi de resurse materiale, vătămare, deteriorarea reputației sau vătămare corporală Exploatarea scăzută a unei vulnerabilități poate duce la pierderea unor resurse materiale sau poate avea un impact semnificativ asupra reputației și misiunii organizației Definiţia risk Scopul acestui pas este de a evalua nivelul de risc al sistemului IT Definiția riscului pentru o pereche privată amenințare-vulnerabilitate poate fi exprimată în funcție de: • probabilitatea ca o anumită sursă de amenințare să încerce să exploateze o anumită vulnerabilitate; • amploarea impactului în cazul implementării cu succes de către sursa amenințărilor de vulnerabilitate; • suficiența controalelor planificate sau existente pentru a reduce sau elimina riscul Scalele de risc și o matrice a nivelului de risc sunt utilizate pentru a măsura riscul În matricea nivelurilor de risc, definiția finală a problemei riscului se obține prin înmulțirea nivelurilor de frecvență (claselor) probabilităților de amenințare cu gradul de influență a amenințărilor O astfel de matrice arată modul în care clasele generale de risc pot fi determinate pe baza intrărilor din categoriile de probabilitate și impact al pericolului (Tabelul ) Această matrice ( x ) este o matrice a evaluărilor amenințărilor (înaltă, medie, scăzută) și a impactului amenințării (înaltă, medie, scăzută) În funcție de cerințele organizației și de numărul de gradări ale evaluării riscului dorit, pot fi utilizate matrice x sau x De exemplu, următoarele valori ar putea fi adăugate la o matrice x : • pentru probabilitatea de amenințare - foarte scăzută, foarte mare; • pentru impactul amenințării - foarte scăzut, foarte mare Acest lucru vă va permite să obțineți niveluri de risc foarte scăzute și foarte ridicate Un nivel foarte ridicat de risc poate necesita închiderea sistemului sau oprirea tuturor instrumentelor de integrare a sistemului IT Exemplul dat în tabel arată cum sunt obținute nivelurile globale de risc Determinarea acestor niveluri de risc sau clase Tabelul Matricea nivelurilor (claselor) de riscuri Influența probabilității amenințării Scăzut ( ) Mediu ( ) Ridicat ( ) Ridicat ( , ) Scăzut x , = Mediu x , = Ridicat x , = Medie ( , ) Scăzută x , = Medie x , = Ridicată x , = Scăzut ( , ) Scăzut x , = Mediu x , = Ridicat x , = bufnițele pot fi în mare măsură subiective Rațiunea poate fi trasă în termeni de probabilități atribuite fiecărui nivel de probabilitate de pericol și valoarea atribuită fiecărui nivel de impact De exemplu, atribuiți o probabilitate pentru nivelul de amenințare ridicat - , ; pentru medie - , ; pentru scăzut - , Pentru valori de influență: pentru mare - ; pentru medie - ; pentru scăzut - Recomandări privind mijloacele de protecție (control) Pe baza matricei nivelurilor de risc sunt selectate mijloace de protectie (control) care pot reduce sau elimina riscul identificat Scopul acestor recomandări este de a reduce nivelul de risc pentru sistemul IT și datele acestuia la un nivel acceptabil Recomandările de control sunt rezultatul procesului de evaluare a riscurilor și oferă input pentru procesul de atenuare a riscului, în timpul căruia sunt evaluate controalele procedurale și tehnice de securitate recomandate, sunt stabilite prioritățile și sunt făcute planuri pentru achiziționarea și implementarea diferitelor controale Trebuie remarcat faptul că nu toate măsurile de control recomandate pot fi aplicate pentru a reduce pierderile Analiza cost/beneficiu este utilizată pentru a determina măsurile specifice care sunt necesare și adecvate pentru o anumită organizație Această analiză se aplică măsurilor de protecție recomandate pentru a demonstra că costul aplicării controalelor poate fi justificat prin reducerea nivelului de risc În plus, ar trebui luate în considerare impactul opțiunilor recomandate, cum ar fi impactul operațional (adică impactul asupra performanței sistemului) și fezabilitatea (adică îndeplinirea specificațiilor, acceptarea utilizatorului) Ca urmare a acestui pas, sunt elaborate recomandări pentru măsuri de protecție (controale) și soluții alternative pentru reducerea riscului documentatia rezultata Odată ce evaluarea riscului a fost finalizată (au fost identificate sursele de amenințări și vulnerabilități, riscul a fost evaluat, s-au pregătit recomandări pentru control), rezultatele trebuie prezentate sub forma unui raport oficial Raportul corespunzător de evaluare a riscurilor descrie amenințările, vulnerabilitățile, măsurătorile riscurilor și oferă recomandări pentru aplicarea măsurilor de protecție (control) Reducerea riscului După primirea rezultatelor analizei de risc, sarcina principală este împărțirea riscurilor în acceptabile și inacceptabile Dacă riscul este inacceptabil, atunci trebuie aplicate proceduri de atenuare Procesul de reducere a riscului include prioritizarea componentelor individuale ale evaluării globale a riscurilor, evaluarea și aplicarea protecțiilor (controalelor) recomandate pentru reducerea riscului Deoarece eliminarea tuturor riscurilor este de obicei imposibilă sau impracticabilă, este responsabilitatea conducerii să efectueze o analiză cost-beneficiu și să aplice cele mai adecvate măsuri de protecție pentru a reduce riscul la un nivel acceptabil cu impact nedorit minim asupra resurselor și misiunii organizației În general, reducerea riscului poate fi realizată prin aplicarea uneia sau a unei combinații dintre următoarele operațiuni de reducere a riscului: • acceptarea riscului (acceptați riscul potențial și continuați să operați sistemul IT sau să aplicați măsuri de protecție pentru a reduce riscul la un nivel acceptabil); • evitarea riscurilor (evitarea riscului prin eliminarea cauzei riscului și (sau) consecințelor, adică refuzați anumite funcții ale sistemului sau opriți sistemul atunci când este identificat un risc); • limitarea riscului (limitarea riscului prin aplicarea de protecții care minimizează impactul nedorit al implementării vulnerabilității de către amenințare, adică utilizarea instrumentelor de susținere, preventive sau detective); • planificarea riscurilor (gestionarea riscului prin dezvoltarea unui plan de diminuare a riscului care prioritizează, aplică și menține garanțiile); • cercetare și validare (reducerea riscului de pierdere prin validarea unei vulnerabilități sau defect și aplicarea protecției de cercetare pentru a aborda vulnerabilitatea); • transferul riscului (transferul riscului folosind alte opțiuni pentru a compensa pierderile, cum ar fi cumpărarea unei asigurări) Platonov Atunci când luați o decizie de atenuare a riscului, trebuie luate în considerare obiectivele și misiunea organizației Este posibil să nu fie practic să se ia în considerare toate riscurile identificate, așa că perechile amenințare-vulnerabilitate care au potențialul de a avea cel mai mare impact asupra misiunii sau daunelor ar trebui să fie prioritizate În plus, atunci când se protejează misiunea unei organizații și sistemele sale IT (deoarece fiecare organizație are echipamente unice și își rezolvă propriile probleme), opțiunile utilizate pentru atenuarea riscului și metodele utilizate pentru aplicarea garanțiilor pot varia Cea mai bună abordare este utilizarea tehnologiilor adecvate, care includ utilizarea de protecții de la diferiți producători, opțiuni adecvate de atenuare a riscurilor și măsuri administrative non-tehnice Schema generală a procesului de reducere a riscului este prezentată în fig Punctele corespunzătoare de aplicare a acțiunilor echipamentului de protecție din figură sunt marcate cu cuvântul "da" Analiza de sistem Costurile atacatorului > câștig mai mult? Pierderea așteptată depășește pragul > specificat? Vulnerabilitatea există Fără risc & Sursa amenințărilor Riscul există da s>v ^: Tnet Nu ^Pierdere > prag^: Inacceptabil Riscul este acceptabil risc Orez Diagrama procesului de reducere a riscului Luați în considerare regulile care ghidează acțiunile de atenuare a riscului cauzat de amenințările deliberate: ) când există o vulnerabilitate (sau defect, slăbiciune), aplicați tehnica de transmitere (asigurare) pentru a reduce probabilitatea ca vulnerabilitatea să fie realizată; ) când poate fi implementată o vulnerabilitate - aplicați protecție stratificată, proiectare arhitecturală specială și controale administrative pentru a minimiza sau preveni riscul; ) când costul atacatorului este mai mic decât câștigul potențial, aplicați protecție pentru a reduce motivația atacatorului într-un mod care crește costul atacatorului (adică, utilizarea mijloacelor care limitează ceea ce poate accesa utilizatorul și reduce semnificativ profitul atacatorului); ) când pierderile (pierderile) sunt foarte mari - se aplică principii de proiectare, arhitectură, protecție tehnică și non-tehnică pentru a limita gradul de impact al atacului și, astfel, a reduce potențialul de pierderi O astfel de strategie, cu excepția celui de-al treilea punct, este aplicabilă și pentru a reduce riscul crescut de amenințări hardware sau umane neintenționate (adică erori de sistem sau de utilizator) De regulă, principala metodă de reducere a riscului este utilizarea mijloacelor adecvate de protecție (control) În acest caz, trebuie aplicată următoarea regulă: "În primul rând, luați în considerare cel mai mare risc, străduindu-vă o reducere semnificativă a riscului la un cost minim și un impact minim asupra altor proprietăți ale obiectului luat în considerare" Pentru a atenua riscul, se utilizează următoarea metodologie pentru a descrie abordarea aplicării garanțiilor Pasul este prioritizarea acțiunilor Pe baza nivelurilor de risc prezentate în raportul de evaluare a riscurilor, prioritizați acțiunile Când se aplică resurselor, cea mai mare prioritate ar trebui să fie acordată valorilor de risc cu ranguri inacceptabil de înalte (adică riscului atribuit un nivel foarte înalt sau înalt) Aceste perechi amenințare-vulnerabilitate vor necesita acțiuni corective imediate pentru a proteja interesele și misiunea organizației Rezultatul pasului este clasificat (de la mare la cel scăzut) riscuri Pasul - evaluați opțiunile de protecție recomandate Măsurile de protecție recomandate ca rezultat al procesului de evaluare a riscurilor pot să nu fie adecvate sau fezabile pentru o anumită organizație și sistem IT În acest pas, fezabilitatea acestora (adică compatibilitatea cu instrumentele și sistemele existente, acceptarea utilizatorului) este analizată și eficacitatea (adică gradul de protecție și nivelul de reducere a riscului) a echipamentului de protecție recomandat Scopul este de a alege cele mai potrivite mijloace pentru a minimiza riscul Ieșirea pasului este o listă de protecții adecvate (controale) Pasul este efectuarea unei analize cost-beneficiu Analiza este efectuată pentru a ajuta conducerea să ia decizii și să identifice costul efectiv al fondurilor Rezultatul pasului este o analiză cost-beneficiu care descrie costurile și beneficiile aplicării (sau neaplicarii) garanțiilor Pasul - alegeți mijloacele de protecție Pe baza analizei cost-beneficiu, conducerea organizației determină măsurile de protecție pentru a atenua riscul pentru misiunea organizației pe baza criteriului cost-eficacitate Controalele selectate ar trebui să combine elemente tehnice, operaționale și de control pentru a asigura o protecție adecvată pentru sistemul și organizarea IT Rezultatul pasului este o listă de fonduri selectate Pasul - numiți responsabil Persoanele adecvate (din rândul personalului intern sau cu implicarea organizațiilor externe) care au experiență și cunoștințe adecvate în aplicarea echipamentului de protecție selectat sunt identificate și atribuite responsabilitatea Rezultatul pasului este o listă de persoane responsabile Pasul este elaborarea unui plan de implementare a protecției La această etapă se elaborează un plan de implementare (aplicare) a echipamentului de protecție (plan de acțiune) Acest plan trebuie să conțină cel puțin următoarele informații: • riscuri (perechi amenințare-vulnerabilitate) și nivelurile corespunzătoare de risc (ieșirea raportului de evaluare a riscurilor); • echipament de protectie recomandat (din raportul de evaluare a riscurilor); • priorități de acțiune (cu priorități acordate pentru niveluri de risc foarte ridicate și ridicate); • garanții selectate și planificate pentru utilizare (determinate pe baza fezabilității, eficacității și beneficiului organizației și costurilor); • resursele necesare pentru aplicarea mijloacelor planificate selectate; • liste cu echipele și personalul responsabili; • data începerii cererii; • o dată de încheiere desemnată pentru cerere; • Facilități necesare și întreținere necesară Acest plan prioritizează acțiunile de protecție și este întocmit de la o dată de început până la o dată de încheiere Va ajuta la simplificarea procesului de reducere a riscurilor Rezultatul pasului este un plan pentru aplicarea echipamentului de protecție • Pasul - aplicați protecțiile selectate Utilizarea echipamentului de protecție în funcție de situația individuală poate reduce nivelul de risc, dar nu-l elimina Rezultatul pasului este riscul rezidual Atunci când aplică măsurile de reducere a riscurilor recomandate, o organizație ar trebui să ia în considerare garanții tehnice, manageriale și operaționale, sau o combinație a acestora, pentru a asigura protecție maximă pentru sistemul și organizația sa IT Instrumentele de securitate, utilizate în mod corespunzător, pot proteja, limita sau opri deteriorarea unei surse de amenințări Risc rezidual Utilizarea măsurilor de protecție nu garantează eliminarea riscului, în plus, este imposibilă în principiu Prin urmare, există întotdeauna un anumit nivel de risc, numit risc rezidual Scopul procesului de atenuare a riscurilor este de a obține un risc rezidual care este acceptabil pentru îndeplinirea misiunii organizației Schema generală de obținere a riscului rezidual este prezentată în fig O organizație poate analiza evaluarea atenuării riscurilor rezultată din aplicarea unor măsuri de protecție noi sau îmbunătățite în ceea ce privește amenințarea sau atenuarea impactului, două dimensiuni care determină reducerea nivelului de risc al misiunii unei organizații (Figura ) Pentru a atinge un risc rezidual acceptabil, o organizație poate utiliza controale noi sau îmbunătățite care reduc riscul prin: • eliminarea unor vulnerabilități ale sistemului (defecte și slăbiciuni) prin reducerea numărului de posibile perechi sursă amenințare-vulnerabilitate; • adăugarea de instrumente speciale orientate pentru a reduce capacitatea și motivația sursei amenințărilor De exemplu, dacă • se stabilește că costul instalării și menținerii unui software de securitate suplimentar pentru un computer individual care stochează informații sensibile este prea mare pentru ca organizația să poată Orez Schema de risc rezidual Orez Proceduri de diminuare a riscurilor apoi pot fi aplicate controale administrative și fizice îmbunătățite pentru a îngreuna accesul fizic la acest computer; • reducerea amplorii impacturilor nedorite (ex limitarea vulnerabilității sau modificarea relației dintre sistemul IT și misiunea organizației) Calculul si estimarea riscului Tendințele de dezvoltare organizațională arată că rețelele lor de calculatoare se extind și se actualizează constant, componentele de rețea și IT se schimbă și completează, software-ul aplicației este înlocuit sau actualizat cu versiuni noi În plus, schimbările afectează personalul organizației și, în consecință, politica de securitate Aceste schimbări înseamnă că apar noi riscuri, iar riscurile care au fost atenuate anterior devin din nou semnificative Prin urmare, procesul de management al riscului trebuie să fie continuu și în evoluție În SUA, procesul de evaluare a riscurilor este repetat de obicei la fiecare ani de către agențiile guvernamentale (OM B Circular A- ) Managementul riscului ar trebui integrat cu ciclul de viață al sistemului IT, deoarece este o bună practică și sprijină execuția afacerii organizației Efectuarea periodică a unui proces de evaluare a riscurilor vă va permite să răspundeți flexibil și rapid la schimbările din sistemul IT și echipamentele de service Pentru a-și îndeplini cu succes misiunea, o organizație trebuie să aibă un program adecvat de management al riscului Un exemplu de conținut al raportului rezultat Luați în considerare structura aproximativă a unui raport de evaluare a riscurilor Introducere: • • tinta; • domeniul de aplicare al acestei evaluări a riscurilor Descrierea componentelor sistemului, elementelor, utilizatorilor, locația părților organizației și alte detalii ale sistemului incluse în evaluarea riscului Abordarea evaluării riscurilor - descrie pe scurt abordarea utilizată pentru evaluarea riscurilor: • participanți (adică membrii echipei de evaluare a riscurilor); • tehnica utilizată pentru colectarea informațiilor; • dezvoltarea și descrierea scalei de risc (adică matricea nivelurilor de risc x , x sau x ) Caracteristica sistemului - caracterizează sistemul, inclusiv hardware (servere, routere, comutatoare), software (aplicații, sisteme de operare, protocoale), interfețe de sistem (canale de comunicație), date (stocate, transmise și procesate) și utilizatorii sistemului Diagramele de conectivitate sau schemele de intrări și ieșiri ale sistemului sunt furnizate pentru a delimita limitele evaluării riscurilor Inventarul amenințărilor - Adună și enumeră sursele potențiale de amenințări și activitățile asociate acestora relevante pentru sistemul evaluat Rezultatele evaluării riscurilor - enumeră toate revendicările luate în considerare (perechile amenințare-vulnerabilitate) Fiecare declarație trebuie să includă: • numărul revendicării și o scurtă descriere (de exemplu, "Revendicarea : parolele utilizatorilor de sistem pot fi ghicite sau sparte"); • discutarea surselor perechilor amenințare-vulnerabilitate; • identificarea remediilor existente; • discutarea frecvenței de apariție și a evaluărilor impactului (înalt, mediu, scăzut); • discuții despre analiza și evaluarea impactului (impact ridicat, mediu, scăzut); • clasarea riscului pe baza unei matrice a nivelurilor de risc (risc ridicat, mediu, scăzut); • remedii sau alternative recomandate pentru reducerea riscului Concluzie - Un rezumat al declarațiilor, nivelurile de risc asociate, recomandările și orice comentarii tabulate pentru a facilita consultarea de către conducerea organizației și pentru a facilita aplicarea remediilor recomandate în timpul procesului de diminuare a riscurilor Auditul securității informațiilor Un audit al unui sistem informațional (tehnologia informației) este înțeles ca un proces sistematic de obținere și evaluare ki de date obiective despre starea actuală a sistemului (tehnologii), acțiunile și evenimentele care au loc în acesta, care stabilește nivelul de conformitate a acestora cu un anumit criteriu și oferă rezultatele clientului Efectuarea unui audit vă permite să evaluați securitatea actuală a funcționării IT, să evaluați și să gestionați riscurile, să anticipați impactul acestora asupra proceselor de afaceri ale organizației, să abordați corect și rezonabil problema asigurării securității activelor informaționale ale organizației, dintre care principalele sunt: • idei; • cunoștințe; • proiecte; • rezultatele sondajelor interne Conceptul general de audit Data nașterii auditului este considerată a fi , când în Anglia s-a promulgat o lege privind societățile pe acțiuni, conform căreia consiliile lor trebuiau să raporteze anual licitatorilor, iar raportul trebuia verificat și confirmat de un persoană specială - un auditor independent În prezent, auditul, trecând prin mai multe etape de dezvoltare, a devenit parte a vieții economice a țărilor dezvoltate De la verificarea conturilor societăților pe acțiuni de către auditori profesioniști individuali, auditul s-a dezvoltat într-un concept complex care include o serie de servicii (verificarea situațiilor financiare, analiză financiară, consultanță) furnizate de auditori profesioniști și firme de audit Printre astfel de firme se numără atât cele mici, inclusiv o duzină de angajați, cât și giganți cu până la câteva mii de oameni Să numim companiile din așa-numitele cinci mari: Ernest & Young, CPMG, Price Waterhouse Coopers, Arthur Anderson, Deloyt & Touche Conceptele de reglementare a activității de audit în practica mondială sunt diferite În Germania, Franța și Spania, unde organizațiile guvernamentale și băncile sunt considerate principalii utilizatori ai situațiilor financiare, reglementarea de stat a auditului este mai frecventă În Marea Britanie și SUA, unde licitatorii, creditorii și investitorii sunt considerați principalii utilizatori ai situațiilor financiare, autoreglementarea este mai frecventă În Federația Rusă, sistemul de reglementare a activităților de audit, în special în domeniul IT, este în curs de formare În prezent predomină reglementarea de stat, dar apar și elemente de autoreglare Organismul autorizat care reglementează activitatea de audit în Federația Rusă este Ministerul Finanțelor al Federației Ruse Tabelul Standarde de audit Data adoptării Titlu Sumar Auditul în condițiile prelucrării datelor informatice Se formulează cerințele generale de audit în condițiile prelucrării datelor informatice, se descriu caracteristicile planificării și realizării unui audit în acest mediu / / Efectuarea unui audit cu ajutorul computerelor Sunt formulate condițiile de utilizare a calculatoarelor pentru efectuarea unui audit, sunt descrise caracteristicile planificării și efectuării unui audit cu ajutorul computerelor Federația Rusă (documentul principal este Legea federală "Cu privire la activitățile de audit" nr -FZ din / / ) În același timp, la elaborarea standardelor întregi rusești, sunt luate în considerare standardele internaționale, care sunt concepute pentru a rezolva aceleași probleme (Tabelul ) Standardele intracompanii rezolvă aceleași sarcini ca și cele internaționale și toate rusești, dar la scara unei firme de audit Standardul integral rusesc "Cerințe pentru standardele interne ale organizațiilor de audit" din stabilește că fiecare organizație de audit trebuie să formeze un pachet de standarde interne (intracompanii) care să reflecte abordarea de a efectua un audit și de a elabora o opinie Tipuri de audit Auditul de securitate al sistemelor informatice este de obicei împărțit în extern și intern Să aruncăm o privire mai atentă asupra acestor tipuri de audit în legătură cu tehnologiile de rețea utilizate de IS modern Auditul extern se desfășoară în principal în afara organizației și, de regulă, de către organizații specializate implicate în auditul securității informațiilor În acest caz, sunt analizate măsurile de risc din atacurile externe și atacurile din exterior (chiar dacă organizația este protejată de firewall-uri) La efectuarea unui audit extern, se efectuează scanarea portului, se efectuează căutarea vulnerabilităților în software-ul de rețea și aplicație Se încearcă interacțiunea cu serverele Web, serverele de mail și fișiere, încercări de a intra în local rețeaua organizației nys La solicitarea conducerii organizației se poate efectua un tip special de audit extern - Ethical Hacking În acest caz, o organizație specială (aceasta este o practică larg răspândită în lume, astfel de unități au un nume special de echipă de tigri) efectuează atacuri selectate asupra serverelor, site-urilor web și gazdelor organizației Astfel de atacuri pot demonstra vulnerabilitățile IP-ului unei organizații Auditul intern este de obicei realizat de o echipă dedicată din cadrul organizației Sarcina sa este de a evalua riscul tehnologiei IP existente Acest tip de audit este realizat folosind instrumente de automatizare a auditului care implementează unele standarde Auditul intern se desfășoară în interiorul spațiului de rețea limitat de firewall-ul organizației De asemenea, include scanarea portului și a vulnerabilităților gazdelor interne ale organizației În plus, sunt analizate organizarea și implementarea politicii de securitate stabilite, controlul și gestionarea accesului la resurse, politica de parole a personalului organizației și implementarea acesteia Acest tip de audit completează tehnicile standard de audit cu o luare în considerare mai cuprinzătoare a vulnerabilităților rețelei Mecanisme și servicii de protecție Deoarece nu există un singur dispozitiv care să ofere protecție împotriva atacurilor de integritate, confidențialitate și disponibilitate, sunt utilizate combinații de componente de protecție, ceea ce reduce foarte mult posibilitatea unui atac de succes Principalele componente de securitate includ: • firewall-uri; • sisteme de detectare a intruziunilor; • mijloace de control al integrităţii; • mijloace de verificare a conținutului; • scanere; • instrumente de control al configurației; • mijloace de control al accesului și autentificare; • rețele private virtuale (Virtual Private Network, VPN); • instrumente de securitate încorporate (sisteme de operare, instrumente de audit, liste de control acces etc ) Construcția și aplicarea principalelor componente de securitate vor fi discutate în continuare Întrebări de control a Care este diferența dintre intranet și extranet? Listați principalele dispozitive de conectare la internet Care sunt asemănările și diferențele dintre conceptele de amenințare și vulnerabilitate? Formulați principalele surse de amenințări Enumerați principalele tipuri de scurgeri de informații Care este esența unei abordări integrate pentru asigurarea securității informațiilor? Formulați scopul politicii de securitate Enumeraţi paşii principali în definirea unei politici de securitate Listați principalele șabloane de politici de securitate pentru o organizație binecunoscută Enumerați principalele sarcini ale unei politici de securitate a rețelei Ce este un perimetru de rețea? Formulați definiția zonei demilitarizate Enumeraţi în profunzime principalele componente ale apărării Ce este managementul riscului? Formulați componentele evaluării globale a riscurilor Care sunt principalele abordări ale evaluării cantitative a riscurilor? Enumeraţi principalele metode utilizate pentru reducerea riscului Ce este riscul rezidual? Formulați scopul și natura auditului sistemelor informaționale Enumerați principalele tipuri de audit și caracteristicile acestora Enumeraţi principalele mecanisme şi servicii de protecţie CAPITOLUL ATACURI DE LA REȚEA DE LA DISTANȚĂ Odată ce ați identificat amenințările, trebuie să faceți o alegere: să acceptați riscul, să încercați să-l reduceți sau să vă asigurați Dacă nu poți fi complet în siguranță, trebuie să gestionezi riscul B Schneier Secrete și minciuni Principalele tipuri de amenințări au fost luate în considerare în cap Apoi, luați în considerare amenințările în interacțiunea rețelei În general, este acceptat să se evidențieze următoarele amenințări principale: • amenințări la adresa integrității; • amenințări la confidențialitate; • amenințări de accesibilitate Aceste tipuri generalizate de amenințări nu oferă o idee despre o amenințare specifică Așadar, pe baza schemei generale de internetworking, în cazul atacurilor la distanță, se pot distinge două tipuri principale de amenințări Amenințări cauzate de participanții la schimbul de informații: • Refuzul de a primi date după ce au fost primite; • refuzul de a transfera datele după ce acestea au fost transferate; • refuzul acordului ajuns Amenințări cauzate de o terță parte (atacator): • inserarea datelor în schimb; • refuzul serviciului Printre amenințările la adresa rețelei organizației și a sistemelor acesteia, pot fi distinse amenințările vechi și noi Vechile amenințări sunt implementate prin atacuri bazate pe utilizarea unor vulnerabilități binecunoscute și script-uri de atac (exploat-uri) Astfel de amenințări provin de la hackeri sub-competenți (numiți seript kiddies) sau complet incompetenți (numiți începători) Aceste categorii de infractori folosesc scripturi de atac gata făcute și este posibil să nu înțeleagă mecanismele reale ale exploit-urilor utilizate (utilizate), precum și posibilele efecte secundare ale acestora Dar acest lucru nu reduce pericolul lor pentru organizații, deoarece implementarea vechilor amenințări neprotejate poate provoca daune semnificative dacă organizația nu ia măsurile adecvate Noile amenințări sunt mai grave și pot fi dăunătoare organizației Aceste amenințări sunt caracterizate de încercări direcționate de a provoca daune, de a obține informații, de a perturba operațiunile etc Noile amenințări sunt implementate de obicei de hackeri calificați, cu cunoștințe detaliate despre mecanismele de interacțiune cu rețea și logica aplicației Pentru a obține informațiile necesare, atacatorii folosesc instrumente și scripturi special concepute (care pot folosi apoi categorii mai slabe de atacatori pentru a-și duce atacurile) De obicei, noile amenințări exploatează vulnerabilități necunoscute sau recent descoperite Întregul set de amenințări poate fi împărțit în externe și interne Amenințările externe sunt cele care vin din exterior Amenințările interne sunt inițiate de o entitate care are acces la infrastructura organizației Un exemplu clasic de amenințare internă este atunci când un angajat ofensat de concediere dăunează informațiilor organizației Atacurile de rețea În fiecare an, sunt descoperite noi vulnerabilități, dar cunoștințele necesare pentru a efectua un atac sunt în scădere, ceea ce este mult facilitat de internet (Fig ) Amenințările externe noi și vechi sunt implementate prin atacuri de rețea sau atacuri de rețea de la distanță Prin un atac de rețea de la distanță, înțelegem impactul asupra componentelor software ale sistemului țintă folosind instrumente software Astfel, un atac este o încercare de a obține date sau de a se infiltra În general, există trei tipuri principale de atacuri: ) atacuri de informații (eșantioane, colectare de informații); ) atacuri de acces; ) atacuri de denial of service Aceste tipuri de atacuri nu sunt întotdeauna folosite singure și sunt de obicei folosite în combinație pentru a-și atinge obiectivele Atacurile de recunoaștere sunt folosite pentru a aduna informații despre o rețea sau un sistem țintă Astfel de atacuri par inofensive pentru sistemul țintă și pot fi considerate de administratorii de rețea drept "zgomot de rețea" sau comportament enervant Dar informațiile adunate în timpul fazei de recunoaștere sunt folosite pentru a efectua atacul Instrumentele de recunoaștere pot fi fie convenționale, incluse în sistemul de operare (OS), fie dezvoltate special Deoarece cunoașterea precisă a sistemului țintă și a vulnerabilităților acestuia poate asigura succesul unui atac, atacurile de recunoaștere ar trebui considerate o amenințare serioasă Orez Sofisticarea instrumentelor de atac și gradul necesar de cunoștințe O O b Atacurile de acces sunt acele atacuri care implică utilizarea neautorizată a unei gazde țintă sau a unui grup de gazde Mijloacele prin care un atacator obține acces la infrastructură depind de obicei de vulnerabilitatea subiacentă, fie că este în sistemul de operare, în aplicație sau în mecanismul de apărare Adesea, aceste vulnerabilități sunt expuse atacatorilor în timpul recunoașterii Atacurile de acces pot fi efectuate manual sau folosind mijloace automatizate sau chiar automatizate Atacurile de acces pot fi împărțite în trei tipuri de activități neautorizate: • extragerea datelor (citire, copiere, mutare); • acces la sistem (un intrus obține acces real la sistem cu diferite niveluri de privilegii); • escaladarea privilegiilor (necesară pentru un atacator atât pentru a controla complet sistemul, cât și pentru a-și ascunde hacking-ul) Un al treilea tip de atac este un atac de tip denial of service, în care un atacator încearcă să împiedice utilizatorii legitimi să acceseze un sistem sau un serviciu Adesea, aceste atacuri sunt implementate prin debordarea resurselor de infrastructură cu solicitări (legitime sau false) de acces la un serviciu Astfel de atacuri pot fi direcționate atât către o gazdă individuală, cât și către rețea în ansamblu Una dintre problemele grave din domeniul securității computerelor este lipsa unei terminologii comune Această problemă este agravată de următoarele circumstanțe: • varietatea de termeni folosiți care există deja în limbă; • predominanța cărților traduse în care traducătorii folosesc termeni ambigui (o excepție de la această regulă este traducerea strălucită a cărții The New Hacker's Dictionary, care, din păcate, nu conține termeni care au intrat în uz computerizat în ultimii ani); • utilizarea incorectă de către producători și vânzători a termenilor de protecție care ar trebui să convingă cumpărătorul să-și cumpere produsul; • lipsa listelor standardizate de termeni și a terminologiei stabilite Orice atac de rețea este îndreptat către software-ul gazdă atacat Software-ul atacat poate fi stiva de rețea a sistemului de operare, alt cod de sistem, un program de aplicație, de ex un element de aplicație sau software de sistem Un atac, de regulă, este posibil datorită prezenței erorilor și calculelor greșite în dezvoltarea, implementarea, configurarea sau utilizarea acestui instrument software Să luăm în considerare principalele elemente ale terminologiei atacurilor de rețea O eroare este o eroare în codul de program al acestui instrument software Pot exista erori care nu au apărut sau nu au fost încă exploatate de atacatori O greșeală de calcul este un defect al unui instrument software, care este determinat atât de codul programului său, cât și de un defect în proiectul în sine sau în modul în care este utilizat instrumentul Erorile și calculele greșite sunt vulnerabilități O vulnerabilitate este un defect al unui software pe care un atacator o poate exploata Un atacator dezvoltă sau folosește șabloane de atac gata făcute (dezvoltate de alții) pentru o vulnerabilitate cunoscută O instanță a unui model de atac creat pentru a compromite o anumită bucată de cod software este un program de atac sau un exploit Atunci când efectuează un atac, un atacator folosește un scenariu de atac care implică utilizarea diferitelor șabloane în funcție de comportamentul (reacția) sistemului atacat Astfel, un atac este un proces de implementare a unui scenariu de atac În timpul atacului, atacatorul primește date (reacții ale sistemului atacat) care indică succesul (eșecul) aplicării unui anumit șablon sau servesc drept bază pentru aplicarea unui anumit șablon de atac Descrierea fiecărui atac se poate baza pe vulnerabilitățile exploatate ale sistemului atacat Un atac reușit se numește invazie La invadare, atacatorul își atinge obiectivul principal - obținerea accesului la sistem, obținerea capacității de a-și executa codul de program sau provocarea încetării (restricției) funcțiilor sistemului atacat Alte obiective sau pași ai acțiunilor atacatorului pot include extinderea privilegiilor primite, injectarea codului programului, luarea de măsuri pentru a masca prezența lor și faptul intruziunii etc Scenariu de atac generalizat Statisticile privind încălcarea securității arată că numărul de atacuri tinde să crească exponențial Internetul în sine este un teren fertil pentru intruziunile în sistemele informatice Rețeaua computerelor permite utilizatorilor să partajeze date, programe și resurse de calcul În plus, un număr mare de exploit-uri sunt disponibile pe Internet Prin urmare, chiar și utilizatorii cu cunoștințe minime pot efectua un hack de succes Acest lucru se datorează faptului că o parte semnificativă a utilizatorilor de internet nu acordă suficientă atenție problemelor de securitate Multumesc Când se găsește o vulnerabilitate într-un produs software, este nevoie de timp pentru a o remedia Acest timp constă în timpul dezvoltării unui program corector (patch, patch - patch), instalarea acestui patch pe serverul corespunzător al companiei și postarea unui anunț despre disponibilitatea patch-ului Acest lucru necesită ca utilizatorul sau administratorul de sistem să examineze în mod constant site-urile web relevante ale producătorilor de software și software Apoi, trebuie să instalați patch-ul corespunzător pe computer Atunci când o organizație are multe sisteme informatice, multe sisteme de operare și produse software, astfel de operațiuni devin destul de costisitoare și consumatoare de resurse Prin urmare, o parte semnificativă a utilizatorilor nu sunt conștienți de prezența vulnerabilităților, prezența patch-urilor adecvate și necesitatea instalării acestora În acest caz, atacatorul trebuie doar să găsească sistemul informatic corespunzător Luați în considerare un scenariu de atac generalizat, care poate fi reprezentat ca următorii pași: • inteligența pasivă; • inteligenta activa; • selectarea (dezvoltarea) unui exploit; • piratarea sistemului țintă; • descărcarea unui "payload" (care este de obicei malware); • ascunderea urmelor de hacking Desigur, această secvență poate fi întreruptă sau pașii individuali ai acestui scenariu pot fi excluși Să trecem în revistă pe scurt acești pași Inteligența pasivă Această etapă se numește pasivă, deoarece atacatorul nu intră în contact direct cu ținta sau intră în conformitate cu regulile general acceptate (de exemplu, prin vizitarea site-ului companiei în care este inclus sistemul țintă) Scopul acestei etape este de a colecta informații despre țintă, așa că este adesea numită recunoaștere a țintei Ținta poate fi fie o anumită gazdă (server), fie întreaga rețea a organizației Destul de des, ținta este selectată din condiția unei simple căutări a unui sistem care conține o vulnerabilitate cunoscută pentru care atacatorul are un exploit Pentru a colecta informații, pot fi utilizate site-uri de Internet existente și baze de date care furnizează adrese de rețea ale numelor de domenii și blocuri de adrese de rețea Un atacator poate căuta numere de telefon, numele și prenumele personalului organizații, adresele poștale ale acestora De mare interes pentru atacator sunt partenerii și filialele care interacționează cu organizația țintă În plus, sunt folosite diverse surse și publicații deschise (conferințe, servicii de mesagerie, materiale promoționale etc ) Colectarea de informații este facilitată de anumite baze de date aflate pe Internet, și de programe speciale care vă permit să obțineți astfel de informații Printre acestea, remarcăm whois-ul, baza de date ARIN (American Registry for Internet Numbers), APNIC (Asia-Pacific Network Information Center), etc De exemplu, o interogare whois care conține numele Microsoft produce următoarele rezultate (o mare parte din informații au fost omise pentru concizie): Microsoft Corp (MSFT) Microsoft Corporation (ZM -ARIN) noc@microsoft com + - - - Microsoft (ZM -ARIN) noc@microsoft com + - - - Microsoft Corp (AS ) MSLI Microsoft Corp (AS ) MICROSOFT-CORP-BCENTRAL Microsoft Corp (AS ) MICROSOFT-CORP -MSN-AS-BLOCK - Microsoft Corp (AS ) MICROSOFT-CORP-AS Microsoft Corp (AS ) MICROSOFT-CORP -MSN-AS -SATURN Microsoft Corp (AS ) MICROSOFT-CORP -MSN-AS- Microsoft Corp (AS ) MICROSOFT-CORP -MSN-AS- Microsoft Corp (AS ) MICROSOFT-CORP -MSN-AS Microsoft Corp (AS ) MICROSOFT-CORP MSN-AS- Microsoft Corp (AS ) MICROSOFT-CORP-XBOX-ONLINE Microsoft Corp NETBLK-MSOFT-NET (NET- - - - - ) - Microsoft Corp MSOFT- (NET- - - - - ) - Microsoft Corp MSOFT- (NET- - - - - ) - Microsoft Corp MSOFT- (NET- - - - - ) - Microsoft Corp MSOFT- (NET- - - - - ) - Microsoft Corp MICROSOFT- (NET- - - - - ) - Microsoft Corp MICR S FT-C RP-MSN- (NET- - - - - ) - Microsoft Corp MICR S FT (NET- - - - - ) - Microsoft Corp MICR S FT- (NET- - - - - ) - Microsoft Corp MICR S FT-NET (NET- O - - -O- ) - ETC Inteligența activă Etapa de recunoaștere activă se numește scanare Un atacator încearcă să determine structura rețelei de interes pentru el, punctele de acces, nodurile și gazdele disponibile, locația routerelor și firewall-urilor, sistemele de operare instalate și versiunile acestora, porturile deschise și serviciile care rulează, versiunile produselor software instalate În această etapă, atacatorul intră în contact cu obiecte ale sistemului de interes pentru el, astfel încât acțiunile sale pot fi detectate de instrumentele de securitate ale sistemului țintă Pentru a rezolva problemele de efectuare a recunoașterii active (scanare), un atacator poate folosi un număr mare de instrumente diferite, dintre care multe sunt disponibile publicului Printre acestea se numără instrumente precum ping, traceroute, nmap (http://www insecure org/nmap) SuperScan (http://www foundstone com) Disponibilitatea gratuită a unor astfel de instrumente se datorează în mare măsură faptului că acestea sunt utilizate în mod activ de către administratorii de sistem pentru a rezolva problemele actuale de gestionare și protejare a rețelelor Există multe tehnici și instrumente care vă permit să determinați sistemul de operare instalat pe gazdă și versiunea acestuia Au fost dezvoltate metode de așa-numită scanare ascunsă (stealth), care nu permit determinarea sursei care efectuează scanarea În plus, poate fi folosită scanarea "lentă", atunci când atacatorul trimite solicitări separate la intervale mari În acest caz, probabilitatea este destul de mare ca sistemul țintă să nu acorde atenție solicitărilor individuale Exploatați selecția Pe baza datelor primite, atacatorul alege (modifică unul existent sau dezvoltă unul nou) un exploit pentru hacking Un număr mare de hackeri fără experiență încep să pirateze pe baza unui exploit existent Apoi, în etapa de explorare, se caută un sistem care are vulnerabilitățile corespunzătoare În acest caz, este posibilă o simplă enumerare a adreselor pentru a selecta cumva (de exemplu, aleatoriu) o gazdă vulnerabilă, care va deveni ținta unui hack Amintiți-vă că o adresă IP dintr-un pachet are de biți și este un număr binar Numele gazdelor care sunt setate în browser, au un formular convenabil pentru utilizator De exemplu, puteți specifica adresa Microsoft ca www microsoft com sau Aceeași adresă poate fi reprezentată în hexazecimal (CF E E) sau binar ( ) Prin urmare, este destul de ușor să utilizați o buclă de program pentru a enumera valorile adresei într-un exploit Această metodă a fost folosită în ianuarie de viermele Slammer, care a folosit următoarea relație recursivă pentru a enumera adrese: xl+I = ( xl+ ) mod Utilizarea acestei metode este limitată de faptul că există adrese neutilizate în întreaga gamă de adrese După obținerea informațiilor necesare și alegerea unui exploit, atacatorul poate proceda la piratarea sistemului Hacking sistemul țintă Există multe moduri diferite de a pirata Acestea includ obținerea accesului la sistem, împuternicirea privilegiilor existente sau dobândite și refuzul serviciului Hackingul se face aproape întotdeauna cu software și este direcționat către software Un atac de succes presupune mai multe acțiuni succesive Amintiți-vă că un model de atac este o variantă de hacking în legătură cu o vulnerabilitate software Prin urmare, un șablon de atac poate folosi mai multe proprietăți ale vulnerabilităților și trebuie să specifice datele necesare pentru a compromite sistemul Printre metodele de hacking, se pot distinge cum ar fi injectarea de comenzi, utilizarea canalelor și a porturilor, modificarea drepturilor de acces, utilizarea proprietăților sistemului de fișiere, manipularea variabilelor de mediu, utilizarea variabilelor externe, utilizarea datelor incorecte, selectarea parametrilor, utilizarea incorectă a gestionării erorilor etc Metodele de hacking pot fi simple sau complexe Ca un simplu hack (reparat deja pe toate sistemele), iată un exemplu de trimitere a unui pachet ping, a cărui dimensiune totală depășește valoarea permisă: C:\> ping - www target com Acum sistemul de operare Windows dă un mesaj unei astfel de comenzi: Valoarea parametrului nevalidă - , interval valid de la la Atacul viermelui Slammer deja menționat a constat în trimiterea unui singur pachet UDP cu o dimensiune de octeți Viermele propriu-zis a ocupat de octeți și a exploatat o vulnerabilitate în Microsoft SQL Server sau MSDE , descoperită încă din iulie În ciuda acestui fapt, viermele a infectat aproximativ de gazde în primele de minute de propagare Atacantul și fundașul sunt în condiții inegale Pentru a proteja un sistem de atacuri, este necesar să cunoașteți toate atacurile posibile împotriva unui anumit sistem, iar pentru a efectua un atac, este suficient să găsiți un singur program de atac eficient Se încarcă "sarcină utilă" De regulă, "un atac este efectuat nu numai de dragul procesului de hacking în sine De obicei, un atacator dorește să se poată întoarce la un sistem compromis sau să-l folosească ca trambulină pentru a ataca alte sisteme În plus, ar putea fi interesat să obțină date sensibile într-un sistem piratat Acțiunile pentru a încărca "sarcina utilă" a atacului includ următoarele: • instalarea de programe de "ascultare" a traficului de rețea al rețelei locale în care se află sistemul piratat pentru a obține informații care să permită piratarea vecinilor de rețea; • Implementarea port forwarding pentru a se asigura că pachetele sunt trimise către sistemul compromis fără a trece prin firewall; • instalarea de "patch-uri" pentru vulnerabilitățile exploatate sau existente pentru a preveni hacking-ul sistemului de către alți intruși; • crearea de conturi false cu privilegii de superutilizator; • crearea sau instalarea unei intrări secrete gata făcute (backdoor) la un sistem piratat; • instalarea "cailor troieni" pentru a colecta informații confidențiale, apoi a vă conecta în sistem sau pentru a efectua atacuri asupra altor sisteme Acestea și alte operațiuni sunt efectuate atunci când auditarea este dezactivată pe un sistem compromis Ascunderea urmelor de hacking Pentru a împiedica administratorul sau utilizatorul sistemului piratat să detecteze prezența urmelor de hacking, modificare și inserare în software, atacatorul recurge la eliminarea urmelor șederii sale în sistemul piratat Pentru Acest lucru se realizează prin programe pentru ștergerea intrărilor din diferite jurnale păstrate în sistem, ascunderea fișierelor instalate, utilizarea fluxurilor de fișiere în sistemul de fișiere NTFS al sistemului de operare Windows, troianizarea programelor și utilitarelor sistemului și înlocuirea componentelor software ale sistemului de operare Pentru a implementa aceste sarcini, se folosesc seturi de instrumente speciale (rootkit-uri), care sunt adesea numite seturi de instrumente de hacking Termenul rootkit provine din lumea Unix, unde inițial însemna contul de superutilizator (root) și instrumentele pe care le folosește Prin urmare, primele seturi de astfel de instrumente au fost dezvoltate la începutul anilor ai secolului XX pentru Unix În prezent, acestea există pentru aproape toate sistemele de operare, inclusiv Microsoft Windows Primele astfel de seturi au fost fișiere "troiene" în care erau construite pasaje secrete Acestea au fost menite să înlocuiască programele utilizate în mod obișnuit precum ps și netstat Există două tipuri principale de truse de instrumente: truse la nivel de nucleu și truse la nivel de utilizator Această diferență este cauzată de acele componente software care sunt suprascrise (schimbate) în sistemul atacat Pentru a utiliza setul de instrumente, un atacator trebuie să obțină drepturi de root sau de administrator pe sistemul atacat Cele mai periculoase sunt seturile de instrumente la nivel de kernel Ei instalează plug-in-uri sau drivere de dispozitiv, care oferă acces la computer la nivel hardware Deoarece au drepturi superioare, ele pot fi complet ascunse de alte programe care rulează pe sistem De regulă, setul de instrumente include binare care înlocuiesc modulele de program din nucleul sistemului de operare sau biblioteci individuale, diverse instrumente auxiliare pentru obținerea informațiilor necesare, precum și scripturi de instalare Una dintre sarcinile principale ale unui atacator care lucrează cu astfel de kituri este să asigure supraviețuirea instrumentelor instalate după o repornire și să asigure "invizibilitatea" acestora pentru utilizator sau administrator Exemple de atac Pentru a explica mecanismele de acțiune ale atacurilor de rețea, vom folosi intrările de jurnal ale programului windump Programul tcpdump pentru examinarea depozitelor de trafic de rețea a fost dezvoltat de Network Research'Group din cadrul Laboratorului Național Lawrence Berkeley Este un set de instrumente care fac posibilă examinarea depozitelor de rețea trafic cu diferite niveluri de detaliu Pe baza acestuia a fost creat programul windump, care îndeplinește aceleași funcții, dar are opțiuni suplimentare (http://www winpcap org/windump/) Ca exemplu, luați în considerare intrările programului windump din jurnal: : : IP > : %S : ( ) câștigă % (DF) Luați în considerare această intrare element cu element: Pentru IP > : : : - valoarea timpului de analiză a pachetelor; ІР - protocol controlat; , - adresa și portul expeditorului; > - sensul circulației; , - adresa și portul destinatarului; - un semn al sfârșitului părții de adresă; % - un semn al continuării înregistrării liniei revistă Pentru S : ( ) câștigă S este valoarea steagurilor TCP stabilite gov (pot fi următoarele: P, R, S, F Aici S este SYN); : - numere de serie de început și de sfârșit; ( ) - numărul de octeți din pachet; win este dimensiunea ferestrei de transmisie Pentru - paranteze limitând opțiunea TCP, parametrii opțiunii sunt separați prin virgule; mss ,por,por - dimensiunea maximă a segmentului (Dimensiunea maximă a segmentului) pentru această conexiune Deoarece lungimea acestei opțiuni este mai mică de de biți, spațiul liber este umplut cu zerouri pentru aliniere (fără cod de operare); sackOK - parametru sackOK; (DF) - fără fragmentare Când se primește un pachet fragmentat, o intrare de formular (frag : @ +) apare în intrarea de jurnal, unde frag - semn al unui fragment de pachet; - identificator de fragment (valoarea este preluată din câmpul de identificare IP și va fi aceeași pentru toate fragmentele acestui pachet IP); este lungimea conținutului fragmentului în octeți fără a lua în considerare truc IP, care durează de octeți; @ este un separator pentru lungimea fragmentului și valorile offset; O - conținutul fragmentului este deplasat cu octeți; + - indică prezența unor fragmente suplimentare pentru pachetul IP dat (bitul MF este setat în pachetul original) Pentru următorul fragment al aceluiași pachet sursă, intrarea de jurnal va conține o linie ca (frag : @ ), unde - același identificator, deoarece fragmentele aparțin aceluiași pachet sursă; - lungimea fragmentului (fără antet IP) Absența semnului "+" înseamnă că acesta este ultimul fragment Unele atacuri Publicațiile moderne descriu multe atacuri diferite Pentru a ilustra, să ne uităm la câteva exemple simple de atacuri de tip denial-of-service (în prezent, aceste atacuri vor fi detectate și blocate de sistemul de operare) Atacul Land constă în trimiterea unui pachet TCP cu SYN setat la un port deschis În pachet, adresa sursă este egală cu adresa de destinație și sunt indicate și aceleași numere de port: : : : > : : : > În cazul unui atac Smurf, atacatorul injectează ping-uri de difuzare cu o adresă sursă falsă (folosește adresa gazdă a victimei) Gazda victimei primește un număr mare de răspunsuri eco: : : spoofed pound com > : istr: cerere de eco Într-un atac Teardrop, atacatorul trimite un grup de pachete fragmentate în care fragmentele se suprapun: : : wild cell > target cell : udp (frag : +) : : wild com > target com: (frag : ) În acest exemplu, fragmentul numărul este trimis cu de octeți de date la offset A doua linie conține încă patru octeți de date la offset Deci, pentru a procesa acest pachet, sistemul trebuie să revină de la la Atacul Ping of Death constă în trimiterea unui pachet ICMP mare folosind comanda ping Comanda ping folosește ICMP pentru a testa accesibilitatea unei destinații prin trimiterea unui ECHO REQUEST și așteptarea unui răspuns Pachetele ping au o lungime de de octeți Pentru Windows: ripd - target com Pentru Unix: ping -s target com Antetul IP are de octeți, astfel încât pachetul rezultat ( + )' va fi mai mare decât dimensiunea maximă permisă a pachetului Atacul lui K Mitnick Adesea, diferite tipuri de atacuri sunt folosite împreună pentru a atinge scopul atacatorului Ca exemplu al unui astfel de atac combinat, luați în considerare atacul lui K Mitnick (Kevin Mitnick), a cărui schemă este prezentată în fig Să ilustrăm pașii principali ai acestui atac cu datele tcpdump oferite de Tsutomu Shimomura În datele date sunt utilizate următoarele denumiri: server - stație de lucru SPARCstation; terminal (x-terminal) - stație de lucru fără disc Pentru concizie, unele înregistrări sunt omise (indicate cu puncte suspensive) În timpul atacului, K Mitnick a efectuat următoarele acțiuni principale: Efectuarea de teste (de pe adresa toad com) ale mașinilor atacate pentru a determina prezența unei relații de încredere între acestea: : : toad com# finger - Qserver : : toad corn# finger - root@server : : toad com# finger - @x-termina'l : : toad com# showmount -e x-terminal : : toad com# rpcinfo -p x-terminal : : toad com# finger - root@x-terminal Inițierea unui atac de refuz de serviciu (SYN flood) împotriva serverului pentru a împiedica serverul să răspundă la solicitările terminalului Adresa sursă a fost aleasă dintre adresele neutilizate sau inactive la acel moment, astfel încât această gazdă să nu răspundă la pachetele primite (atacul a fost efectuat de sărbători în ): Orez Modelul de atac al lui Mitnick: - atac; - server; - terminal : : - > server login: S : ( ) câștig : : > server login: S : ( ) câștig : : > server login: S : ( ) câștig Intrări omise din motive de concizie : : , > server login: S : ( ) câștig : : > server login: S : ( ) câștig : : > server login: S : ( ) câștig t Serverul a generat răspunsuri (SYN și ACK) la primele opt solicitări, după care coada de cereri a fost plină Trimiterea a de solicitări (de la apollo it luc edu) pentru a stabili o conexiune cu terminalul pentru a determina comportamentul generatorului de numere de secvență (număr de secvență) al conexiunilor TCP ale terminalului: : : apollo it luc edu > x-terminal shell: S : ( ) câștig : : x-terminal shell > apollo it luc edu : S : ( ) ack win : : apollo it luc edu > x-terminal shell: R : ( ) câștig : : apollo it luc edu > x-terminal shell: S : ( ) win : : x-terminal shell > apollo it luc edu : S : ( ) ack câștig : : apollo it luc edu > x-terminal shell: R : ( ) câștig : : apollo it luc edu > x-terminal shell: S : ( ) câștig : : x-terminal shell > apollo it luc edu : S : ( ) ack câștig : : apollo it luc edu > x-terminal shell: R : ( ) câștig : : apollo it luc edu > x-terminal shell: S : ( ) win : : x-terminal shell > apollo it luc edu : S : ( ) ack câștig : : apollo it luc edu > x-terminal shell: R : ( ) câștig O Din intrările de mai sus, se poate observa că fiecare pachet cu SYN și ACK trimis de terminal are un număr de ordine de început cu mai mult decât cel anterior (valori îngroșate), dacă această conexiune este următoarea Stabilirea acestui fapt permite atacatorului să prezică următorul număr fără a primi pachetul în sine Inițierea unei conexiuni cu terminalul în numele serverului, presupunând că terminalul are încredere în server: : : server login > x-terminal shell: S : ( ) câștig La primirea unei cereri, terminalul trimite un răspuns (SYN și ACK) către server, care trebuie confirmat de server (ACK) pentru a stabili o conexiune Deoarece serverul nu a trimis un pachet de stabilire a conexiunii, ar trebui să răspundă cu un pachet RST și să încheie stabilirea conexiunii Dar, ca urmare a atacului, care a început cu secunde mai devreme, serverul este inundat de solicitări de stabilire a conexiunilor și nu poate răspunde Atacatorul trimite un pachet cu ACK în numele serverului cu numărul prezis (fără a primi un răspuns cu SYN și ACK): : : server login > x-terminal shell: întrebați câștigați În timp ce serverul este oprit, conexiunea de încredere este utilizată pentru a executa următoarea comandă: : : server# rsh x-terminal "echo + + "/ rhosts" Această comandă îi spune terminalului să aibă încredere în toate gazdele și toți utilizatorii acelor gazde: Mașina atacatorului are astfel o conexiune terminală care este stabilită în numele serverului Atacatorul poate menține conexiunea vie trimițând confirmările necesare către terminal Atacatorul trimite următoarele pachete: : : server login > x-terminal shell: P : ( ) ask win : : server login > x-terminal shell: P : ( ) ask win : : server login > x-terminal shell: P : ( ) ask win Aceste pachete corespund rulării următoarei comenzi pe terminal: : : server# rsh x-terminal "echo + + "/ rhosts" Acum K Mitnick are capacitatea de a se conecta la terminal de la orice gazdă și de a executa orice comandă pe terminal Închideți toate conexiunile la terminal în numele serverului: : : server login > x-terminal shell: cere câștigă : : server login > x-terminal shell: ack câștigă : : server loginserver autentificare > x-terminal shell: F : ( ) ack câștig : : server login > x-terminal shell: R : ^ ( ) câștig : : server login > x-terminal shell: R : ( ) win Toate cererile pe jumătate deschise de a stabili o conexiune la server sunt închise, astfel încât alți utilizatori să nu descopere încercările nereușite de a stabili conexiuni: : : > server login: R : ( ) câștig : : > server login: R : ( ) câștig : : > server autentificare: R : ( ) câștig : : > server login: R : ( ) câștig Serverul funcționează acum normal, adică gata să răspundă solicitărilor de conectare Astfel, pentru a efectua atacul, K Mitnick a folosit deficiențele protocolului TCP, care erau bine cunoscute din publicații, dar nu au fost luate în considerare de dezvoltatorii de sistem Clasificări ale atacurilor de la distanță Pentru a proteja împotriva atacurilor, este necesar să le studiem și să le clasificăm Sistematizarea cunoștințelor despre atacuri ajută la dezvoltarea măsurilor și sistemelor de protecție împotriva acestora Prin urmare, specialiștii în domeniul securității informațiilor nu încetează să încerce să construiască diverse scheme de clasificare care, într-o măsură sau alta, contribuie la înțelegerea proceselor care duc la pătrunderea în sisteme și ajută la elaborarea măsurilor de protecție și la implementarea sistemelor de protecție Ca exemple de construcție a unor astfel de scheme de clasificare, luați în considerare listele termeni, liste de categorii, scheme matriceale, procese Stolings, scheme taxonomice ale lui Howard și o ontologie a atacurilor de rețea Liste de termeni De exemplu, iată o parte din lista celor mai des utilizați termeni propuși de Fred Cohen: furt de rezervă atacuri combinate viruși de computer agregare de date depășire de e-mail falsificare de e-mail persoane fictive inginerie umană inserare ilegală de valoare infrastructură interferență infrastructură observare intrare depășire autentificare falsificare servicii de rețea atacuri inserare pachete vizionare pachet ghicire a parolei proces ocolire protecție limită împingere umăr surf bombe cu ceas cai troieni Trebuie remarcat faptul că această abordare nu este o taxonomie, deoarece anumiți termeni se suprapun și anumite atacuri nu sunt incluse în listă - furtul de copii de rezervă - atacuri combinate - viruși informatici - agregarea datelor - depășirea e-mailului - înșelătorie prin e-mail - oameni fictive - Inginerie sociala - inserarea de valori nevalide - monitorizarea infrastructurii - depășirea tamponului la intrare - fraudă de înregistrare - atacuri asupra serviciilor de rețea - inserarea pachetului - vezi pachetul - ghicirea (selectarea) parolei - bypass proces - încălcarea limitelor de protecţie - privind peste umăr - bombe temporare - cai troieni Liste de categorii Listele de categorii sunt o variație a listei de termeni, dar conțin definiții de categorii Un exemplu este lista de categorii dată de Cheswick și Bellovin Au împărțit atacurile în următoarele șapte categorii: ) furtul de parole (furtul de parole) - metode de obținere a parolelor de utilizator; ) inginerie socială (ingineria socială) - utilizarea unor tehnici psihologice în relație cu utilizatorii pentru a obține informațiile dorite sau informații de utilizare limitată; ) bug-uri și uși din spate - căutarea unei stări a sistemului care nu este conformă cu specificația sau suprascrierea componentelor software cu componente compromise; ) erori de autentificare - eliminarea mecanismelor utilizate pentru autentificare; ) erori de protocol - protocoalele în sine sunt fie prost proiectate, fie prost implementate; ) scurgere de informații (scurgere de informații) - utilizarea unor sisteme precum finger sau DNS, pentru a obține informații de care administratorii au nevoie pentru buna funcționare a rețelei, dar utilizate de atacator; ) refuzarea serviciului (denial-of-service) - eforturi de a opri utilizatorii să folosească serviciile În această abordare, există și o suprapunere a conceptelor, ceea ce a impus utilizarea listelor în cadrul categoriilor Scheme matriceale Schemele matriceale se bazează pe mai multe dimensiuni Pentru două dimensiuni, sunt luate în considerare vulnerabilitățile și potențialii Violatori Abordarea matriceală a fost implementată de Landwehr El a prezentat o taxonomie a vulnerabilităților (condiții care pot duce la refuzul serviciului sau la acces neautorizat) bazată pe trei dimensiuni: geneza - modul în care vulnerabilitățile își găsesc drumul către Programe; timpul de introducere (time of introduction) - în ciclul de viață al software-ului sau hardware-ului și locație (locație) - locație în software sau hardware Această abordare este ilustrată în tabel Această taxonomie și-a găsit aplicația în dezvoltarea sistemelor de detectare a intruziunilor Procesele Stallings a dezvoltat un model simplu care reprezintă clasificarea amenințărilor de securitate Modelul se bazează pe transferul de informații între obiecte Stallings au identificat patru categorii de atacuri (Figura ) Tabelul Clasificarea matricei Landweir Genesis Malicious Malicious Troian Horse Non-Replica-ting Replicarea Pasaje secrete (Trapdoor) Logica/Bombe cu ceas (Logic/Bomba cu ceas) Stocare non-răuțioasă pe canal secret Temporar (timpul) Alții Eroare de validare aleatorie (inadvertentă) (incompletă/incoerentă) Eroare de domeniu (inclusiv erori de reutilizare a obiectelor, reziduuri și erori de reprezentare expuse) Serializare / Înlocuire (Serializare / Alias) Identificare/autentificare inadecvată (Identificare/Autentificare inadecvată) Încălcarea condiției de limită (inclusiv epuizarea resurselor și erorile de constrângere violabile) Altă eroare logică exploatabilă Întreruperea firului - obiectul sistem este distrus sau a devenit inaccesibil Interceptarea fluxului - un subiect (obiect) neautorizat a obținut acces la obiect • Modificarea fluxului - un subiect (obiect) neautorizat nu numai că a obținut acces la obiect, dar l-a și schimbat Orez Model de blocaje: - întreruperea firului; - interceptarea fluxului - modificarea debitului; - debit fals - umplerea fluxului Flow falsificare - Un subiect (obiect) neautorizat a introdus un obiect fals în sistem Această clasificare ilustrativă poate fi completată cu o categorie de atac de refuz de serviciu (de exemplu, inundații) Clasificarea Howard Taxonomia de atac a fost dezvoltată de Howard pe baza unei analize a statisticilor incidentelor CERT din până în Schema taxonomică a lui Howard este prezentată în fig Conform taxonomiei lui Howard, amenințările sunt: • hackeri - persoane care invadează sisteme informatice pentru a avea acces pentru a apela și a-și afirma statutul; • spioni - persoane care invadează sisteme informatice pentru a obține informații care pot fi folosite în scopuri politice; • terorişti - indivizi care invadează sistemele informatice pentru a crea teamă care îi va ajuta să atingă scopurile politice; • concurenți - indivizi (utilizatori ai unei companii) care invadează sistemele informatice ale altor persoane pentru a obține beneficii financiare pentru organizație; • criminalitate - infractori profesioniști care invadează sisteme informatice în scopul câștigului financiar personal; • vandali - persoane care intră în sistemele informatice pentru a provoca daune Instrumente de atac: • comenzi utilizator - atacatorul introduce comenzi pe linia de comandă sau le setează folosind o interfață grafică de utilizator; • script sau program - atacatorul dezvoltă (compune) scripturi și (sau) programe inițiate folosind interfața cu utilizatorul pentru a exploata vulnerabilitatea; Platonov az DESPRE X az O X Și la az X și " SS despre X despre și X az și X Xi • Agenți autonomi - un atacator inițializează un program sau un fragment de program care funcționează independent de utilizator, folosind vulnerabilități; • set de instrumente - atacatorul folosește un pachet software care conține scripturi, programe sau agenți autonomi pentru a exploata vulnerabilitățile; • set distribuit de fonduri - atacatorul distribuie fonduri peste un set de gazde, care, după o anumită întârziere, atacă gazda țintă într-o manieră coordonată în același timp; • interceptarea datelor - în acest caz, atacatorul fie interceptează canalele tehnice ale scurgerii (de exemplu, prin radiații electromagnetice), fie interceptează ("ascultă") traficul Obținerea accesului se realizează prin utilizarea: • vulnerabilități de proiectare, implementare sau aplicare (configurare); • acces neautorizat sau utilizare neautorizată; • Procese care operează pe fișiere, date în transfer, obiecte sau apeluri în transfer Rezultatele atacurilor sunt: • modificarea informațiilor - orice modificare neautorizată a fișierelor stocate pe un computer sau modificarea datelor transmise printr-o rețea; • dezvăluirea de informații - distribuirea de informații către cineva care nu este autorizat să le acceseze; • furtul de servicii - utilizarea neautorizată a unui computer sau a unui serviciu de rețea fără a degrada serviciul altor utilizatori; • refuzul serviciului - degradarea sau blocarea deliberată a unui computer sau a unei resurse de rețea Obiectivele atacurilor sunt: • apel, stare; • beneficiu politic; • beneficiu financiar; • deteriora Avantajele acestei clasificări includ un studiu destul de bun al categoriilor Neajunsurile taxonomiei sunt determinate de scopul acesteia - construirea unei clasificări pentru atacurile deja efectuate Howard a lucrat ulterior cu Longstaff pentru a dezvolta o taxonomie rafinată, prezentată în Fig Această taxonomie a fost dezvoltată în pentru limbajul de descriere a incidentelor computerizate și este o extensie a taxonomiei anterioare Taxonomiile de atac prezentate au scopul de a descrie atacurile care au avut loc și pot fi utile în dezvoltarea Incident Orez Taxonomia lui Howard și Longstaff sisteme de detectare a intruziunilor În această taxonomie, sarcinile și acțiunile atacatorului constituie un eveniment care poate fi detectat în sistemul atacat Un atac, conform acestei taxonomii, include, pe lângă eveniment, mijloacele folosite, vulnerabilitatea folosită și rezultatul obținut Toate elementele taxonomiei reprezintă un incident Următorul pas în construirea taxonomiilor atacurilor a fost încercările de a construi ontologii ale atacurilor Construirea unei ontologii a atacurilor de rețea Ontologia (din greaca veche ontos - fiinta, logos - doctrina, concept) este un termen filozofic care defineste doctrina fiintei Această doctrină se întoarce la lucrările lui Aristotel, Toma d'Aquino, X Wolf şi în secolul XX a fost dezvoltat de M Heidegger El credea că ontologia este posibilă doar ca hermeneutică, adică ca ştiinţă a interpretării realizată în gândire şi limbaj Această prevedere este, de asemenea, urmărită în specificațiile Federației Internaționale pentru Dezvoltarea Agenților Fizici Inteligenți (Specificații FIPA Partea Serviciul Ontologie: http://www cset it/fipa/), unde o ontologie este înțeleasă ca un descrierea explicită a structurii unei anumite zone problematice (temei) O astfel de descriere se bazează întotdeauna pe un anumit concept al acestei zone, care este de obicei dat sub forma unui sistem de obiecte inițiale (concepte), relații dintre acestea și prevederi (axiome) Însăși definirea conceptelor de bază ale domeniului subiectului (agenți, procese, atribute) împreună cu relațiile de bază dintre ele se numește conceptualizare Din acest motiv, ontologia este adesea înțeleasă ca o "specificare a unei conceptualizări" și chiar este considerată un sinonim pentru un "model de domeniu conceptual" (mai precis, un set de modele conceptuale coexistente) Ontologiile sunt acorduri - acorduri despre conceptualizări partajate Pe de o parte, cercetarea ontologică studiază originea cunoștințelor într-un anumit domeniu și construcția acesteia din anumite unități Pe de altă parte, aceste studii vizează sprijinirea proceselor de comunicare care implică împărtășirea cunoștințelor între agenți și reutilizarea acestora În cel mai simplu caz, ontologia este definită ca un vocabular general al conceptelor utilizate ca blocuri de construcție în sistemele de procesare a informațiilor De obicei, o ontologie descrie o ierarhie de concepte legate prin relații de categorizare În special, atunci când agenții interacționează pe Internet, ontologia este înțeleasă ca o ierarhie a conceptelor și legături între ele împreună cu un sistem de legături către www-documente legate de aceste concepte (linkuri) Modelul ontologic ar trebui să ofere o reprezentare a unui set de concepte sub forma unei structuri de rețea, afișând un set destul de bogat de relații, incluzând nu numai relații taxonomice, ci și relații care reflectă specificul domeniului subiectului, utilizarea declarațiilor și interpretări și relații procedurale Un model de ontologie formală generalizată este înțeles ca un triplu ONT = {U, Im(R), F}, unde U este multimea conceptelor de domeniu, |С/|* ; Itn(R) este un set de relații neclare (ponderate) între conceptele domeniului subiectului, Im(R) = { F| w: C/" -> [ , ]}; F este un set finit de funcții de interpretare (axiomatizări) definite pe conceptele și (sau) relații ale ontologiei, F={f},f\ Z)" - > [ , ], D este zona de interpretare Să luăm în considerare aplicarea ontologiei pentru a construi o clasificare a atacurilor din punctul de vedere al țintei atacului Reprezentarea la nivel înalt a atacurilor include următoarele proprietăți: ținta atacului, mijloacele de atac, rezultatul atacului și locația sursei atacului Conform acestei vederi de nivel înalt, o intruziune este o intrare care este primită dintr-o anumită locație, direcționată către o componentă specifică a sistemului, utilizează o anumită metodă și determină un anumit comportament al sistemului (Figura ) Ontologia completă a atacurilor este prezentată în formă grafică în Fig Luați în considerare caracteristicile și proprietățile acestei ontologii Componenta sistemului care este ținta atacului: • protocol de rețea (atacul folosește protocoalele stivei de protocoale și nu depășește ele); • spațiu kernel (un proces care rulează ca parte a sistemului de operare care este fie compilat în nucleu, fie încărcat de un modul și utilizat în nucleu); Orez Reprezentare la nivel înalt a unui atac • o aplicație (o aplicație care rulează în afara spațiului kernel cu privilegii de utilizator sau root); • altele (nu sunt enumerate mai sus, de exemplu imprimante, modemuri) Metoda folosită de atacator: • eroare de validare a intrării, care include: depășirea memoriei tampon, încălcarea limitelor (procesul poate citi sau scrie dincolo de spațiul de adrese permis sau epuizează resursele de sistem), intrare defectuoasă (procesul acceptă introducere incorectă din punct de vedere sintactic, câmpuri anormale sau este imposibil de corectat erorile); • un exploit logic care folosește o vulnerabilitate și duce la o scădere a performanței și (sau) la compromiterea sistemului: condiții de excepție (erori cauzate de neprocesarea condițiilor de excepție generate de un modul sau dispozitiv funcțional), condiție de sincronizare (erori care apar în intervalul de timp dintre două operații), erori de serializare rezultate din operațiuni de serializare incorecte, erori atomice (erori care apar atunci când datele parțial modificate de un proces sunt deja utilizate de un alt proces) Consecințe - rezultatul final al atacului: • refuzul serviciului către utilizatorii sistemului; • acces utilizator (atacatorul obține acces la unele servicii ale sistemului țintă); • acces cu drepturi root (atacatorul obține controlul deplin asupra sistemului); • pierderea confidențialității (în urma unui atac, utilizatorul sistemului pierde confidențialitatea datelor); • altele (rezultând integritatea compromisă sau alte caracteristici nedorite) Locația sursei atacului - atacatorul se conectează prin rețea sau se află pe gazdă: • la distanță (atacatorul nu trebuie să fie "virtual" pe țintă); • local (atacatorul trebuie să fie prezent "virtual" pe țintă); • de la distanță-local (atacatorul în diferite etape ale atacului poate fi atât de la distanță, cât și local) Evaluarea severității atacurilor Valorile simple sunt de obicei luate pentru a evalua gravitatea atacurilor Principala dificultate în determinarea indicatorului este atribuirea de valori fiecărui atac De regulă, o astfel de numire este făcută de experți care au suficiente experiență cu indicatori relevanți Ca exemplu de astfel de indicator, luați în considerare parametrul de severitate a atacului utilizat în CERT și centrul său de instruire Acest indicator este format din trei parametri: • simplitate (valori de la la ; este cel mai simplu); • dificultate (de la la ; este cel mai dificil); • disponibilitate (de la la ; este cel mai accesibil) Valoarea fiecărui indicator este determinată ca medie aritmetică Centrul Global de Analiză a Incidentelor (GIAC) al Institutului SANS deja menționat utilizează indicatorul de severitate a atacurilor pentru a evalua atacurile O idee generală a nivelului de severitate al unui atac este ilustrată de următorul lanț (în ordinea creșterii riscului): metodă de atac în scenariu ineficient nețintit (fără risc) -> sondaj de recunoaștere -> metodă de atac dirijat -> înfrângerea un sistem non-principal -" înfrângerea sistemului principal (risc maxim) Evaluarea indicatorului de severitate a atacului P este determinată de următorii parametri: • importanţa scopului; • atac catastrofal; • contramăsuri (sistem și rețea) Scale de evaluare sunt stabilite pentru fiecare parametru, unele dintre ele fiind date în Tabel Valoarea indicatorului de severitate a atacului este calculată prin formula P \u d (I + I) - (C + C ) Valoarea fiecărui element este selectată pe o scară de puncte, unde este valoarea minimă și este valoarea maximă Scorul maxim de severitate (cel mai rău caz) este , iar cel minim (cel mai bun caz) este - Valorile negative indică o fiabilitate ridicată a măsurilor de securitate Să luăm în considerare două exemple de calculare a parametrului de severitate a atacului Boink Hack - Provoacă o refuz de serviciu gazdelor vulnerabile prin utilizarea fragmentării pentru a epuiza resursele sistemului : : > protect- : : udp %(frag : @ +) : : > protect- : %(frag : ( ) Tabelul Scale de evaluare a parametrilor Indicator Valoare la scară Ce include Importanța scopului (I) DoE, server DNS, router principal Releu de schimb de e-mail (mijloace) Sistem utilizator Windows Sistem utilizator Unix MS DOS Catastrofitatea atacului (N) Atacatorul poate obține acces administrativ pentru a controla rețeaua Blocare completă prin atac de refuz al serviciului Accesul utilizatorului (de exemplu, printr-o parolă) Probabilitatea de succes a atacului este scăzută Contramăsuri de sistem (С ) Sistem de operare cu patch-uri și securitate suplimentară (cum ar fi Wrap-per-uri TCP, shell securizat) Lipsesc unele patch-uri Fără Wrapper-uri TCP, parole necriptate fixate permise Sistemul de operare vechi Contramăsuri de rețea (C ) ME restrictiv ME restrictiv cu conexiuni externe (modemuri, ISDN) ME permisiv Nu ME Mecanism de încălcare - două pachete UDP care conțin fragmente suprapuse sunt trimise în porturi diferite Decalajul fragmentului din a doua rafală ( ) este mai mic decât dimensiunea sarcinii utile din prima explozie ( ) În plus, dimensiunea datelor primului pachet ( ) nu respectă regula de fragmentare, conform căreia dimensiunea sarcinii utile a tuturor fragmentelor (cu excepția ultimului) trebuie să fie un multiplu de Valorile parametrilor: • importanța obiectivului - (serverul sistemului este atacat); • atac catastrofal - (blocarea completă a serverului); • contramăsuri de sistem - (este folosit sistemul de operare vechi); • contramăsuri de rețea - (fără firewall) Severitatea consecințelor încălcării este de Hack în formă de lacrimă - are ca rezultat, de asemenea, un refuz de serviciu pentru gazdele vulnerabile ' K : @ ) (ttl ) Mecanismul de încălcare Datagramele IP fragmentate sunt trimise către gazda țintă, al doilea fragment fiind complet conținut în primul Valorile parametrilor: • importanța țintei este (o stație de lucru Unix a fost atacată); • atac catastrofal - (sistemul este protejat de hackurile Teardrop); • contramăsuri de sistem - (OS este protejat de acest hack); • contramăsuri de rețea - (fără firewall) Severitatea consecințelor încălcării este - Întrebări de control Enumerați principalele amenințări în rețele Ce se înțelege prin atac de rețea la distanță? Enumerați principalele tipuri de atacuri de rețea și caracteristicile acestora Ce poate acționa ca un instrument software atacat? Ce se înțelege prin vulnerabilitate și exploatare? Care este relația dintre un atac și un scenariu de atac? Care este principala diferență dintre un atac și o invazie? Enumerați pașii principali ai scenariului de atac generalizat Enumerați circumstanțele care au dus la răspândirea mare a viermelui Slammer Ce poate fi instalat pe sistemul atacat ca urmare a unui atac reușit? Care sunt principalele scopuri și tipuri de rootkit-uri? Pe ce se bazează atacurile care folosesc fragmentarea pachetelor? Enumerați tipurile de atacuri individuale utilizate în atacul Mitnik Folosind exemplele de atacuri date în capitol, completați categoriile de atacuri introduse de Stallings Enumeraţi principalele mijloace de atac conform clasificării lui Howard Enumeraţi principalele diferenţe dintre ontologie şi taxonomie Care sunt limitele posibile ale intervalului de severitate a atacului pentru schema de scor GIAC? CAPITOLUL TEHNOLOGII FIREWALL În primul rând, trebuie să faceți modelarea amenințărilor, să dezvoltați o politică de securitate și abia apoi să alegeți tehnologiile potrivite Amenințările determină politica de securitate, care, la rândul ei, determină procesul de dezvoltare B Schneier Secrete și minciuni Firewall-urile sunt unul dintre elementele principale ale apărării în profunzime a unei rețele corporative În plus, firewall-urile sunt primul dispozitiv de protecție care separă perimetrul extern și cel intern Un firewall este un instrument local (cu o singură componentă) sau distribuit funcțional (complex) care implementează controlul asupra informațiilor care intră într-un sistem automat (AS) și (sau) părăsesc acesta și oferă protecție pentru AU prin filtrarea informațiilor, de ex analiza acestuia printr-un set de criterii și luarea deciziilor privind distribuția sa DOE se uită la pachetele care trec prin el în ambele direcții și decide dacă admite sau distruge pachetele Astfel, firewall-ul implementează un punct de protecție între două rețele - protejează o rețea de alta Dezvoltarea tehnologiilor de internetwork ecrane Tehnologiile ME sunt relativ tinere, dar se dezvoltă rapid Perioadele de timp aproximative pentru dezvoltarea acestor tehnologii sunt prezentate în Fig Prima apariție a ME ca tehnologie este asociată cu routerele, care au apărut în - Aceste ME au fost numite filtre de pachete Prima lucrare care descrie procesul de filtrare a pachetelor în scopuri de securitate a fost publicată de Digital Equipment Corporation în Inspecție dinamică aplicată la nivel Orez Dezvoltarea tehnologiilor firewall În - AT&T Beli Lab a introdus a doua generație de arhitecturi ME legate de studiul întârzierilor în circuite În același timp, cercetătorii au propus primul model de lucru al celei de-a treia generații - nivelul de aplicație ME, dar aceste idei nu au fost elaborate și implementate în detaliu Prin urmare, firewall-urile de a treia generație au fost propuse simultan de mai mulți cercetători la sfârșitul anilor și începutul anilor În primele publicații, Gene Spafford de la Universitatea Purdue, Bill Cheswick de la AT&T Beli Lab și Marcus Ranum au descris ME la nivel de aplicație în - În , Ranum a propus forma unei gazde bastion care servește rhohu În curând a fost implementat de DEC (un produs SEAL) În , Chezwick și Steve Bellovin au început să cerceteze filtrele dinamice de pachete și să dezvolte o arhitectură aferentă în Beli Lab, dar aceasta nu a fost niciodată pe deplin implementată În , Bob Braden și Annette Deschan de la Institutul de Știință Informatică al USC au dezvoltat sistemul de filtrare dinamică "Visas" al Check Point Software, lansat în Această tehnologie a fost brevetată de o companie numită inspecție completă În , au început lucrările la dezvoltarea celei de-a -a generații: Kemel Proxy În , a fost implementat Cisco Centry FW - primul ME comercial din a -a generație În , a fost propusă ideea construirii de firewall-uri distribuite Trebuie remarcat faptul că atât ME-urile de cercetare (academice), cât și cele comerciale au fost și sunt produse software uriașe și complexe Costul lor este practic inaccesibil pentru utilizatorii obișnuiți Prin urmare, din , o linie largă de cercetare a fost orientată spre dezvoltarea ME-urilor personale Astfel de firewall-uri au fost dezvoltate pentru a fi utilizate pe un computer separat, oferind protecție personală utilizatorului In acelasi timp Acestea includ cercetări privind crearea de sisteme ME distribuite În continuare, luați în considerare principalele elemente ale tehnologiilor pentru construirea de firewall-uri Filtrarea pachetelor La început, această tehnologie a fost aplicată la nivelul rețelei, astfel încât doar adresele IP sursă și destinație au fost filtrate În prezent, analiza traficului de rețea în timpul filtrării pachetelor este efectuată și la nivel de transport Fiecare pachet IP este examinat pentru conformitatea cu un set de reguli Aceste reguli stabilesc permisiunea conexiunii în funcție de conținutul antetelor rețelei și nivelurile de transport ale modelului TCP/IP, și se analizează și direcția de mișcare a pachetului Controlul filtrelor de pachete: • interfața fizică de unde provine pachetul; • ІРi (adresa IP sursă); • IPn (adresa IP a destinației); • tipul stratului de transport (ТСР, UDP, ІССР); • porturi de transport sursă și destinație Diagrama arhitecturii filtrului de pachete este prezentată în fig Traducerea adresei de rețea Un firewall de filtrare a pachetelor redirecționează adesea pachetele de rețea, astfel încât traficul de ieșire să ajungă la adrese diferite Această schemă se numește schema de traducere a adresei de rețea (NAT) și este descrisă în RFC Utilizarea schemei NAT permite, în primul rând, ascunderea topologiei și a schemei de adresare a rețelei de încredere și, în al doilea rând, utilizarea unui grup mai mic de adrese IP în cadrul organizației Schema operației de traducere a adresei este prezentată în fig Orez Diagrama arhitecturii filtrului de pachete Distingeți între traducerea de adrese statică și dinamică Traducerea statică utilizează un bloc de adrese externe care sunt atribuite solicitărilor de la gazdele rețelei locale Cu traducerea dinamică, toate solicitările de la gazdele din rețeaua locală au aceeași adresă Pentru traducerea dinamică, se utilizează un formular (NAT Overloading), care mapează un set de adrese dintr-o rețea locală la o singură adresă IP folosind numere de port diferite (Port Address Translation, PAT) Traducerea adreselor, pe lângă ascunderea adreselor interne ale gazdelor rețelei locale, îndeplinește o funcție de securitate importantă Dacă un atacator direcționează un pachet către o gazdă din rețeaua internă, acesta va fi abandonat deoarece nu există nicio intrare corespunzătoare în tabelul NAT pentru acesta Proces de filtrare a pachetelor La filtrarea pachetelor, dacă pachetul îndeplinește regulile, atunci el (în funcție de direcția de la sau către gazda la distanță) se deplasează de-a lungul stivei de rețea pentru procesare sau transmisie ulterioară Toate pachetele primite sunt verificate conform regulilor de filtrare specificate Pachetul este distrus sau este permis să se deplaseze în stiva de rețea pentru livrare Această arhitectură folosește un set limitat de comenzi pentru a analiza unul sau mai multe protocoale de rețea, dar efectuează parsarea în spațiul nucleului Filtrul de pachete nu înțelege ce protocol de aplicație va fi utilizat Regulile conțin două liste: o listă de refuz și o listă de permise Pachetul de rețea este verificat în ambele liste Schema generală de examinare a pachetelor: • dacă regula permite, atunci pachetul este permis; • dacă regula interzice, atunci pachetul este șters; • dacă nu se aplică nicio regulă, atunci pachetul este șters Schema de procesare a pachetelor pentru filtrare este prezentată în fig Tehnologia de filtrare a pachetelor a servit ca bază pentru crearea diferitelor instrumente de securitate și este implementată în aproape toate tipurile de routere Principalele avantaje și dezavantaje ale acestei tehnologii sunt prezentate în tabel Liste de control al accesului Pentru implementarea procesului de filtrare a pachetelor se folosesc reguli, numite liste de control al accesului (Access Control List, ACL sau pur și simplu Access List, AL) Ca exemplu, luați în considerare implementarea filtrelor în routerele Cisco Routerul Cisco efectuează filtrarea pachetelor prin listele de control al accesului care sunt incluse cu sistemul de operare Cisco Internetwork (IOS) Lista de control acces conține o listă de articole din antetele pachetelor care vor fi verificate Routerele Cisco definesc listele de acces ca un set secvenţial de condiţii de autorizare şi refuzare Fiecare pachet este verificat conform regulilor listei Dacă pachetul se potrivește cu regula, Orez Schema de procesare a pachetelor pentru filtrare apoi este eliminată (dacă este o regulă de refuz) sau transmisă (dacă este o regulă de permis) Dacă un pachet se potrivește cu o regulă, atunci nu va mai fi verificat cu alte reguli Prin urmare, ordinea regulilor în lista de acces este importantă Există mai multe tipuri de liste de control al accesului Cea mai simplă filtrare de pachete corespunde unei liste standard de control al accesului Când descrieți sintaxa ACL-urilor Cisco, valorile dintre acolade sunt necesare, în timp ce valorile dintre paranteze drepte sunt opționale Tipul aldine va evidenția cuvintele cheie din listă Tabelul Avantajele și dezavantajele tehnologiei de filtrare Avantaje Defecte Funcționare rapidă (comparativ cu alte tehnologii ME) ME poate fi implementat în hardware Nu este necesară configurarea gazdei utilizatorului Schema NAT "ascunde" adresele IP interne Nu "înțelege" protocoalele de aplicație Nu se poate restricționa accesul la un subset de protocoale chiar și pentru serviciile de bază (de exemplu, puneți, obțineți comenzi FTP) Nu urmărește conexiunile (nu conține informații despre sesiune) Capacități slabe de procesare a informațiilor în cadrul pachetului Nu poate restricționa informațiile de la computerele interne la serviciile serverului ME Practic nu există un audit Regulile dificil de testat (datorită complexității rețelelor interne, prezența diverselor Servicii) Sintaxa pentru o listă standard de control al accesului este: lista de acces list-number {permit/deny} sursă {mask} [jurnal] Aici list-number este numărul acestei liste de acces (pentru listele standard, sunt permise numere de la la ) Cuvântul cheie permit permite trecerea unui pachet care îndeplinește condiția, iar cuvântul cheie deny neagă trecerea Când un pachet este abandonat, este trimis un mesaj ICMP care indică faptul că destinația este inaccesibilă Cuvântul sursă specifică sursa (gazdă sau rețea) de la care a fost trimis pachetul Sursa poate fi specificată printr-o adresă IP sau prin cuvântul cheie apu Cuvântul mască specifică biții de mască pentru adresa sursă dată Masca implicită este , care definește o singură adresă IP Pentru a nu specifica o mască, puteți folosi cuvântul gazdă urmat de adresa sa IP, de exemplu lista de acces permis gazdă sau cu masca: lista de acces permis Deoarece masca este cu zerouri, fiecare bit al adresei trebuie verificat Pentru regulile de mai sus, va fi permisă doar adresa și toate celelalte adrese vor fi refuzate (din cauza refuzului implicit de la sfârșitul listei) Un bit de mască setat la unu înseamnă că bitul dat nu trebuie să se potrivească cu bitul de adresă corespunzător Astfel, o mască all-one ( ) înseamnă că nu sunt verificați biți ai adresei, adică tot traficul este permis Pentru a facilita utilizarea cazului când masca constă numai din zerouri sau unu, se folosește cuvântul apu Ca exemplu, luați în considerare cazul în care trebuie să refuzați accesul gazdelor ale căror adrese sunt în intervalul până la Masca de subrețea pentru acest interval va fi , iar masca de filtrare va fi Cuvântul cheie jurnal determină înregistrarea în jurnal a evenimentului care a cauzat o potrivire cu instrucțiunea regulii Fiecare router are cel puțin două interfețe Interfața asociată cu rețeaua internă este desemnată Ethernet , iar interfața externă este desemnată Serial Dacă există mai multe interfețe, acestea primesc adrese în creștere secvențială, de exemplu, Ethernet , Ethernet Iată regulile unei liste standard de control al accesului pentru cazul în care numai traficul gazdelor din rețea ( ) are voie să treacă prin router, cu excepția gazdei , deși este gazda a acestei rețele O linie de regulă a listei de acces care începe cu un semn de exclamare indică un comentariu: lista de acces deny host ! interzicerea accesului la rețeaua protejată pentru această listă de acces gazdă permis ! permisiunea de acces la subrețea clasa C Routerele Cisco folosesc ideologia: "ceea ce nu este permis este interzis", prin urmare, în fiecare listă de acces, ultima linie este refuzată În exemplul de mai sus, tot traficul nespecificat va fi refuzat Regulile listei de control acces sunt procesate secvenţial Prin urmare, succesiunea regulilor de scriere este importantă În exemplul nostru, schimbarea ordinii rândurilor ar face ca gazda să aibă întotdeauna acces la rețeaua internă, deoarece a doua regulă nu ar fi verificată niciodată Prin urmare, în listele de control al accesului, aserțiunile cu cuvântul cheie deny sunt întotdeauna scrise primele Listele standard de control al accesului Cisco realizează funcții simple de filtrare, de ex sunt firewall-uri de filtrare a pachetelor Firewall-uri de nivel de conexiune Datele ME verifică dacă pachetul este fie o solicitare pentru o conexiune TCP, fie reprezintă date referitoare la se referă la o conexiune deja stabilită sau se referă la o conexiune virtuală între două straturi de transport Pentru a verifica conexiunea, doe examinează fiecare conexiune stabilită (verificând "strângerea de mână" legitimă pentru stratul de transport utilizat - de obicei TCP) Nu sunt trimise pachete până la încheierea strângerii de mână Pentru a face acest lucru, ME generează un tabel de conexiuni valide (stabilite), care includ informații complete despre starea conexiunii și execuția secvenței necesare Pachetele au voie să treacă, informația în care corespunde introducerii în tabelul conexiunilor virtuale La sfârșitul conexiunii, intrarea corespunzătoare din tabel este ștearsă Schema de funcționare a ME de acest tip este prezentată în fig După ce se stabilește o conexiune, tabelul corespunzător (tabelul de stare) stochează de obicei următoarele informații: • identificatorul de sesiune; • starea conexiunii (strângere de mână, stabilită, închisă); • informații secvențiale (numere consecutive de octeți de intrare, state de pavilion etc ); • adresa IP sursă și adresa IP destinație; • numărul de porturi care participă la sesiune; • interfața fizică la care a ajuns pachetul; • interfața fizică la care este trimis pachetul; • marcaje temporale ale începutului deschiderii sesiunii etc Funcționarea unui astfel de ME ar trebui să ofere un număr minim de verificări, care este implementat prin construirea unei forme limitate de stări de conectare Pentru obezi- Orez Diagrama de funcționare a stratului de conexiune ME pot fi aplicate verificări suplimentare (de exemplu, verificări dacă datele conținute în antetul protocolului de transport sunt conforme cu protocolul stratului de aplicație) pot fi aplicate atunci când sunt create capacități suplimentare În acest caz, poate fi folosit și NAT Principalele avantaje și dezavantaje ale acestei tehnologii sunt prezentate în tabel Listele de acces extinse Cisco vă permit să filtrați adresele IP sursă și destinație, să permiteți utilizarea unui protocol IP încorporat (TCP, UDP, ICMP, BGP, IGRP) și a unui port de destinație Dacă se folosește ICMP, codul sau tipul mesajului este filtrat, iar dacă se stabilește o conexiune TCP, steagurile ACK și RST sunt setate Sintaxa extinsă a listei de control al accesului: lista de acces număr-listă {permis/refuz} protocol sursă s-mask [operator s-port] destinație d-mask [operator d-port] [valoare de precedență] [tos value] [stabilit] [log/log-input] Lista de acces extinsă trebuie să aibă un număr în intervalul sau un nume Dacă listei i se dă un nume, atunci acesta este setat printr-o comandă specială (ip access-list nume extins) Ca protocol, puteți specifica atât abrevierea protocolului (/>, tcp, udp, іstr, etc ) cât și numărul de protocol (de la la ) conform numărului specificat în antetul pachetului IP (de exemplu, ICMP este numărul , TCP este numărul , UDP este numărul ) Cuvântul cheie ip din câmpul protocol înseamnă toate protocoalele Cuvântul s-mask înseamnă masca adresei sursei, iar d-mask înseamnă destinația Operatorul cuvânt este aplicabil numai Tabelul Avantajele și dezavantajele tehnologiei de conectare Avantaje dezavantaje Capacitatea de a refuza conexiunile la anumite gazde Când utilizați NAT - ascunderea adreselor IP interne Nu poate restricționa accesul pentru alte protocoale decât TCP Nu verifică protocoale de nivel superior Audit limitat (conexiune slabă cu niveluri de protocol mai înalte) Nu permite adăugări de caracteristici - Cache de răspuns HTTP , filtrare, uKb, autentificare Reguli de testare de dificultate ko pentru portul de destinație (d-port) Valorile valide pentru câmpul operator sunt: • lt (mai puțin decât) - mai puțin decât; • gt (mai mare decât) - mai mult decât; • eq (egal cu) - egal; • neq (nu este egal cu) - nu este egal; • interval - interval (în acest caz, sunt specificate două numere de port) Listele de control al accesului vă permit să utilizați abrevieri pentru numele serviciilor care folosesc aceste porturi în loc de numerele de porturi Câmpul de prioritate este folosit pentru a filtra după niveluri de prioritate (de la la ), câmpul tos este folosit pentru a filtra tipul de serviciu (de la la ) Câmpul est (stabilit) se aplică numai protocolului TCP Câmpul de jurnal indică faptul că un eveniment este înregistrat atunci când pachetul îndeplinește condițiile listei de acces Sugestia de intrare a jurnalului adaugă la intrări numele interfeței unde a fost primit pachetul corespunzător Iată exemple de reguli de liste de acces extinse și comentarii la acestea: lista de acces permis istr gazdă ! permițând gazdei să trimită mesaje ICMP ! orice gazdă din rețea lista de acces permis gazdă tcp eq interval ! permițând gazdei să inițieze sesiuni TCP ! de la portul la orice port între și ! cu orice gazdă din rețea lista de acces permis gazdă udp eq ftp ! permițând gazdei să trimită fișiere prin TFTP ! (portul UDP ) către orice gazdă din rețea Listele extinse de control al accesului analizează fiecare pachet individual și nu au nicio modalitate de a determina dacă un pachet face parte dintr-o sesiune de nivel superior Cuvântul cheie est este folosit pentru a conecta TCP Aceasta verifică antetul TCP pentru prezența steagurilor ACK și RST, dar nu verifică dacă pachetul este într-adevăr parte a unei conexiuni stabilite Prin urmare, listele de acces extinse nu protejează împotriva pachetelor TCP falsificate și nu oferă capacitatea de a filtra sesiunile UDP Firewall-uri de nivel de aplicație Aceste ME evaluează pachetele de rețea pentru conformitatea cu un anumit nivel de aplicație înainte de a stabili o conexiune Aceștia examinează datele tuturor pachetelor de rețea la nivelul aplicației și stabilesc starea unei conexiuni complete (finalizate) și a informațiilor seriale În plus, firewall-urile pot verifica și alți parametri de securitate care sunt conținute în datele de la nivelul aplicației (parole, solicitări de servicii) Majoritatea DOE-urilor la nivel de aplicație includ software de aplicație specializat și servicii proxy Schema de funcționare a serviciilor rgoxy este prezentată în fig Fiecare serviciu proxy este specific de protocol și poate efectua un control îmbunătățit al accesului, validarea datelor și poate genera înregistrări de audit Serviciile proxy nu permit utilizatorilor să se conecteze direct la servere, sunt transparente pentru utilizator și funcționează în zona de aplicații a sistemului de operare Utilizarea proxy vă permite să analizați mai multe comenzi pentru un singur protocol și, foarte important, să analizați conținutul datelor (filtrare LJRL, autentificare etc ) Schema de funcționare a nivelului de aplicație ME este prezentată în Fig Principalele avantaje și dezavantaje ale ME ale acestei tehnologii sunt prezentate în tabel Orez Schema de funcționare a serviciilor proxy: / - stație de lucru; - server Orez Schema de funcționare a nivelului de aplicație ME Tabelul Avantajele și dezavantajele stratului de aplicație ME Avantaje dezavantaje Lucrul cu protocoale de nivel superior (HTTP, FTP) Capacitatea de a stoca informații de stare parțială, informații complete despre starea aplicației și informații de sesiune parțială Capacitate de a restricționa accesul la anumite servicii de rețea Capacitate de a opera cu informații de pachete de date Interzicerea conexiunii directe la servere externe (nume interne sunt ascunse) Transparența proxy Posibilitatea de a implementa caracteristici suplimentare (filtrare URL, autentificare, cache HTTP) Audit bun Serviciul proxy necesită înlocuirea stivei de rețea pe serverul doe Serviciul proxy ascultă pe un port (ca server de rețea, adică nu îl poate folosi) Timp întârziere (pachetul de intrare procesat de două ori - de către aplicație și proxy) Trebuie adăugat un nou proxy pentru fiecare protocol controlat Serviciile proxy necesită de obicei modificarea procedurilor clientului serviciile pot necesita parole suplimentare sau proceduri de autentificare Firewall-uri cu filtrare dinamică a pachetelor Aceste ME permit modificarea bazei de reguli "din zbor" (op fly) Acesta este implementat pentru protocolul UDP În acest caz, doe realizează asocierea tuturor pachetelor UDP care traversează perimetrul de securitate prin conexiunea virtuală Dacă un pachet de răspuns este generat și transmis solicitantului, atunci se stabilește o conexiune virtuală și pachetului i se permite să traverseze serverul ME Informațiile asociate cu starea virtuală sunt stocate pentru o perioadă scurtă de timp, așa că dacă nu se primește niciun pachet de răspuns, conexiunea este considerată închisă Schema de funcționare ME cu filtrare dinamică este prezentată în fig Principala caracteristică a acestei scheme este prezența a două grupuri de reguli Unul este static, celălalt este dinamic, schimbându-se în timpul funcționării ME Principalele avantaje și dezavantaje ale acestui tip de ME sunt prezentate în tabel Tehnologia de filtrare dinamică a pachetelor este utilizată nu numai pentru protocolul UDP și protocoalele de aplicație bazate pe acesta, deci poate fi numită tehnologie pentru stabilirea unei conexiuni virtuale sau a unei sesiuni virtuale Orez Schema de funcționare ME cu filtrare dinamică Tabelul Avantajele și dezavantajele ME cu filtrare dinamică Avantaje dezavantaje Împiedică intrarea pachetelor UDP nesolicitate în rețeaua internă Dacă o solicitare pentru un pachet UDP vine din rețeaua internă și este direcționată către o gazdă nede încredere, serverul MOE permite ca un pachet de răspuns să fie livrat gazdei solicitante Pachetul de răspuns trebuie să conțină un IPN (corespunzător cererii) și un număr de port (corespunzător cererii) și să aibă un tip de protocol adecvat pentru stratul de transport Filtrul dinamic poate fi utilizat pentru a suporta un set limitat de comenzi ICMP Nu "înțelege" aplicația protocoale Nu poate restricționa accesul la un subset de protocoale chiar și pentru serviciile de bază Nu ține evidența conexiunilor Capacități slabe de procesare a informațiilor în cadrul pachetului Nu poate restricționa informațiile de la computerele interne la serviciile serverului ME Practic fără audit Regulile dificil de testat (din cauza complexității a rețelelor interne, prezența diverselor servicii) Listele de control dinamic al accesului Cisco (Lock-and-Key în terminologia Cisco) vă permit să deschideți automat o intrare la o listă de acces existentă pe router, care va filtra traficul de intrare de la un utilizator autentificat Utilizatorul deschide mai întâi o sesiune telnet cu routerul pentru a se autentifica (dacă este permis de lista de acces extinsă corespunzătoare) Routerul din sesiune cere un nume de utilizator și o parolă (configurate de administrator, iar serverele de acces precum TACACS+ sau RADIUS pot fi folosite pentru autentificare) După autentificarea cu succes, sesiunea telnet este închisă și se creează o intrare temporară în lista de acces dinamic Această conectare dinamică permite traficul între gazda utilizatorului (prin adresa IP) și o anumită gazdă din rețeaua protejată Lista de acces dinamic este ștearsă după o anumită perioadă de timp sau la comanda administratorului Sintaxa listei de control dinamic al accesului: list-list-număr-listă [nume listă dinamică [timeout minute]] {deny/permit} sursă de protocol s-mask destinație d-mask [valoare de precedență] [tos value] [stabilit] [log/log-input] Numărul listei de acces trebuie să fie între și Cuvântul dinamic desemnează această intrare ca parte a unei liste dinamice numită list name Dacă este necesar să se comute mai multe intrări în același timp, atunci acestea trebuie să aibă același nume Cuvântul timeout specifică intervalul de timp pentru existența intrărilor dinamice Orice intrare din lista de acces care nu este marcată ca dinamică va fi filtrată ca listă de acces extinsă principală Numai o singură listă de acces dinamic poate fi setată pentru fiecare listă de acces existentă pe router Pentru a deschide o intrare temporară definită în lista de acces, utilizatorul trebuie să introducă comanda (la prompt): access-enable [gazdă] [timeout minute], unde acces-activare este un mesaj către router despre activarea unei intrări temporare în lista dinamică; host este adresa gazdei al cărei trafic, după autentificare, este permis să treacă prin lista dinamică; timeout - valoarea "timp inactiv" Dacă nu există trafic pentru perioada specificată, atunci intrarea temporară este eliminată Permiteți unui utilizator extern ( ) să efectueze o sesiune FTP de până la de minute cu gazda a rețelei protejată de router Interfața externă a routerului are adresa Atunci lista de acces corespunzătoare ar putea arăta astfel: lista de acces timeout dinamic utilizator la distanță permis tcp orice gazdă eq ftp lista de acces permite tcp orice gazdă eq telnet În acest caz, este permis doar accesul telnet la router Oricine se autentifică va avea acces la gazdă în rețeaua internă Dacă un utilizator autentificat tasta gazdă de activare a accesului , aceasta va adăuga adresa sa la lista de acces În acest caz, lista reală din router va conține următoarele reguli: timeout dinamic la distanță permite tcp orice gazdă eq ftp permis gazdă gazdă eq ftp 'permit tcp orice gazdă eq telnet Aceste reguli indică faptul că utilizatorul a fost autentificat și că unei anumite adrese i se permite accesul FTP la gazdă în rețeaua internă Conectarea temporară nu este eliminată atunci când utilizatorul încheie sesiunea Se șterge dacă perioada de timp specificată de parametrul timeout din lista de acces a trecut, sau dacă există un timeout inactiv sau la comanda unui administrator Utilizarea listelor Lock-and-Key nu protejează dacă un atacator folosește adrese false Avantajul utilizării acestei liste de control al accesului este de a permite accesul pentru o anumită perioadă de timp Firewall-uri de inspecție de stat Tehnologia de inspecție de stat analizează pachetele la trei niveluri superioare Această abordare este folosită de mulți dezvoltatori, dar din moment ce numele este brevetat de Check Point, aceștia sunt forțați să-i dea nume diferite (în plus față de inspecția de stat, inspecția de experți, filtrarea inteligentă, screeningul adaptiv, inspecția pe mai multe niveluri etc sunt folosite) Dispozitivul de inspecție a stării analizează pachetele și generează date despre "starea conexiunii virtuale" O conexiune poate fi în starea de configurare, transfer sau deconectare În fiecare dintre aceste stări, este posibil să se interpreteze datele de comunicare într-un anumit mod Toate informațiile legate de starea acestei conexiuni virtuale sunt stocate în tabelul de stare dinamică, care este utilizat pentru a evalua schimbul suplimentar în cadrul acestei conexiuni virtuale, adică secvența pachetelor este controlată la diferite niveluri Schema de filtrare pentru inspecția de stat este prezentată în fig Urmărirea informațiilor din nivelul aplicației vă permite să țineți cont de comportamentul protocoalelor nestandard (de exemplu, FTP sau H ) Fiecare dezvoltator de firewall folosește propria implementare pentru a construi tabelul de stare Firewall-ul IP-tables este un produs freeware pentru Linux În starea de stare, o conexiune este înregistrată în primul rând pe baza informațiilor de protocol Administratorul are capacitatea de a crea reguli care determină ce protocoale sau anumite tipuri de trafic ar trebui monitorizate Când o conexiune este pornită folosind protocolul monitorizat, IP-tables adaugă intrări la tabelul de stare a întregii conexiuni O intrare în tabelul de stare include următoarele informații: • protocolul utilizat pentru conectare; • Adrese IP sursă și destinație; Trafic de intrare Trafic permis Orez Schema de filtrare a inspecției de stare • numărul de porturi sursă și destinație; • listare cu adrese inversate și numere de port (pentru a controla traficul returnat); • timp după care conexiunea va fi ștearsă; • starea conexiunii TCP (numai pentru TCP); • starea conexiunii monitorizate Un exemplu de intrare în tabelul de stare pentru tabele IP: tcp SYN SENT src=l dst=l sport= dport= [NERĂSPUNS] src=l dst = l sport= dport= utilizare=l Prima linie conține protocolul și desemnarea sa numerică ( pentru TCP), următoarea valoare ( ) reflectă timpul după care intrarea va fi ștearsă automat din tabelul de stări Următoarea este starea conexiunii TCP (SYN trimis) Sunt date adresa și numerele de port Firewall-ul vede această conexiune ca [NERĂSPUNS] deoarece este începutul stabilirii unei conexiuni A treia linie conține o linie inversă (inversată) pentru a permite traficul invers După stabilirea conexiunii, intrarea din tabelul de stări se va schimba în următoarele: tcp STABILIT s r s= dst= sport= dport = sg s- O O dst= [ASIGURAT] utilizare=l Indicatorul [UNREPLIED] este eliminat după primirea primului pachet de returnare, iar la stabilirea conexiunii, simbolul [ASSURED] este plasat și valoarea timeout este crescută ( ) Firewall-ul Check Point FireWall- este unul dintre cele mai populare ecrane de inspecție a stării Este un produs software și poate fi instalat pe diverse platforme, inclusiv Windows NT/ , Solaris și Red Hat Linux Acest firewall folosește un tabel de stare pentru urmărirea conexiunii de bază la nivel de protocol și un modul INSPECT pentru urmărirea regulilor mai avansate, inclusiv traficul la nivel de aplicație și comportamentul non-standard al protocolului Când ia decizia de a permite trecerea pachetului, firewall-ul îl va verifica secvenţial cu următoarele structuri de date: ) tabel de stare - dacă o conexiune este înregistrată pentru un anumit pachet de intrare (dacă da, atunci pachetul este transmis fără verificare ulterioară); ) politica de securitate - dacă regula permite trecerea pachetului, atunci pachetul va fi transmis și o intrare va fi adăugată la tabelul de stare pentru sesiunea de conectare a acestuia Pentru a seta reguli, administratorul are o interfață grafică care conține următoarele opțiuni: Sursă, Destinație, Serviciu, Acțiune, Urmărire, Instalare activată și Ora Ca exemplu, iată un fragment dintr-o listă a tabelului de stare Check Point FireWall- , decodat de scriptul Perl - fwtable pl, aflat pe pagina Lance Spitzner (http://www enteract com/~lspitz /fwtable txt) Pentru a ușura citirea, aranjam rândurile tabelului în două părți: Src-IP Src Prt Ds t Ip Dst Prt Ip prot Kbuf Turnee Timeout ffffffOO / ffffffOO / Proxy-urile personalizabile (proxy-uri adaptive) sunt una dintre variantele acestei tehnologii În acest caz, investigarea stării inițiale se face la nivelul aplicației După ce se formează starea, un grup standardizat de reguli corespunzătoare conexiunii date și modul de securitate setat este adăugat la tabelul de reguli Dacă pachetul îndeplinește cerințele regulilor pentru o anumită conexiune virtuală, atunci este trecut prin stratul de rețea fără a afecta stratul de aplicație Acest lucru face posibilă creșterea vitezei ME Listele Cisco Reflective de control al accesului și Listele de control al conținutului Cisco sunt un exemplu de abordare care utilizează elemente de tehnologie de inspecție de stat Listele de control al accesului reflex Cisco vă permit să creați automat autentificări temporare la începutul unei sesiuni de schimb Aceste liste sunt incluse în lista extinsă existentă atunci când o nouă sesiune (TCP sau UDP) este inițiată din rețeaua internă (protejată) Când este activată, o listă de acces reflectorizant generează automat o nouă intrare temporară care va permite traficului să intre în rețeaua internă numai atunci când traficul face parte dintr-o sesiune Lista reflectivă nu conține cuvântul cheie implicit deny all la sfârșit, deoarece după procesarea listei reflective (dacă pachetul nu se potrivește cu regulile listei reflective), routerul va continua cu restul listei de acces extins Să presupunem că un utilizator intern al rețelei, care este permis de lista extinsă, trimite un pachet TCP de pornire a conexiunii În acest caz, este creată o intrare temporară în lista de acces reflectorizant care va fi aplicată traficului care intră în rețeaua internă Această intrare temporară are următoarele caracteristici: • este întotdeauna o intrare cu cuvântul cheie permis, • definește același protocol (în cazul nostru, TCP) ca și pachetul de inițiere a sesiunii; • determină adresele și porturile sursă și destinație corespunzătoare pachetului inițiator (pentru protocolul ICMP sunt specificate tipuri de mesaje); • traficul de intrare este verificat de această intrare temporară atâta timp cât intrarea există; • intrarea este ștearsă după ce ultimul pachet al sesiunii a trecut prin interfața routerului; • dacă nu există pachete legate de sesiune pentru o anumită perioadă de timp (timpul de inactivitate specificat), atunci intrarea este ștearsă Pentru sesiunile TCP, intrarea este eliminată la s după detectarea a două pachete cu indicatorul FIN setat, sau imediat dacă pachetul conține setul de steag RST Pentru UDP și alte protocoale fără conexiune, terminarea sesiunii se bazează pe expirarea timpului de inactivitate Următoarele comenzi sunt utilizate pentru a defini o listă de control al accesului reflectorizant: permite protocol sursă s-mask destinație d-mask reflect reflect-name [timeout secunde] • Pentru a insera o listă reflectivă, utilizați următoarea comandă: ip access-list extins {list-name} evaluate {reflect-name} Să ne uităm la un exemplu în care vom da explicații pe linia de după linia listei de acces (semnul "!" pentru un router Cisco înseamnă o linie de comentariu) Routerul primește comenzi pentru a aplica liste la diferite interfețe (ip - din exterior, trafic de intrare, afară - din interior, trafic de ieșire): interfață Serial O ! interfață router din lumea exterioară - ! Seria •- descriere Acces la Internet prin această interfață! descriere cuvânt cheie înseamnă comentariu IP acces-grup filtre în IP acces-grup outfilters out ! filtrele de intrare și filtrele de ieșire sunt nume de liste de acces ! cuvântul cheie access-group vă permite să specificați liste ! la interfețe timeout listă reflexiv ip ! setarea marcajelor de timp pentru toate listele reflectorizante ! implicit este de secunde Filtrele extinse pentru lista de acces ip permit tcp orice reflectă tcptraffic ! lista reflectorizante specificată denumită tcptraffic pentru ! Protocolul TCP în lista extinsă de filtre ip access-list extinse filtre permit permis bgp orice refuz icmp orice evalua tcptraffic ! permisiunea de a utiliza protocolul BGP și interdicția ISMR pentru ! trafic care intră în router Listele de acces pentru interfața internă a routerului (Ethernet ) arată similar: interfață Ethernet descriere Acces de pe Internet la rețeaua noastră prin această interfață IP access-group infiltrează grupul de acces ip filtrează timeout listă reflexiv ip filtre extinse pentru lista de acces ip permite bgp orice nega icmp orice Platon evalua tcptraffic Filtrele extinse pentru lista de acces ip permit tcp orice reflectă tcptraffic Listele Reflex pot monitoriza doar un singur canal de aplicație (cum ar fi telnet) folosind un singur port static în timpul unei sesiuni Listele de control al accesului bazate pe conținut sunt folosite pentru a remedia această deficiență În ideologia construirii listelor de control al accesului după conținut, Cisco a introdus proprietatea CBAC (Context-Based Access Control) Această proprietate vă permite să controlați și să gestionați diferite tipuri de informații de nivel de aplicație (inspecție cu stare) Când un anumit trafic iese din rețeaua internă, se creează o intrare specială în lista de control al accesului existentă care va permite traficului să revină În acest caz, datele corespunzătoare sunt introduse în tabelul de stare Aceste date includ adrese IP, numere de porturi și așa mai departe Acest tabel de stare este utilizat de CBAS pentru a crea intrări temporare în lista de acces pentru traficul de retur În timp ce informațiile de rețea și de nivel de transport sunt filtrate în listele reflectorizante, CBAC controlează straturile de rețea și de transport împreună cu informațiile de nivel de aplicație Inspecția informațiilor din nivelul aplicației este efectuată pentru a confirma că traficul de intrare este permis să treacă prin router Funcții CAC pentru următoarele protocoale: TCP, UDP, CU-See Me, FTP, H (pentru NetMeeting și ProShare), applet-uri Java (transmis prin HTTP), comenzi r Unix (cum ar fi rlogin, rexec, rsh), RealAudio, RPC (Sun RPC), SMTP, SQL*Net, StreamWorks, TFTP și VDOLive Când o conexiune este închisă, intrarea tabelului de stări este eliminată împreună cu intrarea ACL temporară corespunzătoare Pentru a configura CAC, trebuie să specificați protocolul, interfața routerului, direcția traficului și ACL de ieșire Următoarea sintaxă este utilizată pentru a defini un CAC: IP inspect calea de inspecție-nume protocol [alerta {por/dezactivat} {pistă de audit {pornit/dezactivat}] {secunde de expirare} Cuvântul cheie de alertă vă permite să trimiteți un mesaj către serverul de înregistrare atunci când are loc o încălcare într-o aplicație controlată Cuvântul cheie audit-trail permite înregistrarea conexiunilor utilizate pentru aplicația protejată (se înregistrează următoarele date: adrese, porturi, număr de octeți transferați etc ) Pentru a aplica CAC este necesar să se definească traficul căruia i se permite accesul la Internet Apoi, trebuie să creați o listă de filtrare pentru traficul de intrare, care va fi efectuată independent de CBAC Direct pentru utilizarea IACS, este necesar să setați intervale de timp și valori de prag care vor fi utilizate pentru a determina durata sesiunilor de comunicare inactive înainte de a le șterge Pentru protocolul TCP, acesta este numărul de sesiuni semi-deschise, iar pentru UDP, intervalul de timp până când sosește traficul de retur (răspuns) Relevant! Echipele SVAS sunt: ip inspectează tcp synwait-time secunde ! Timpul de răspuns SYN, implicit este de secunde ip inspectați tcp finwait-time secunde ! Timp de așteptare după primirea FIN, implicit este ! secunde ip inspectează tcp secunde de inactivitate ! Timpul inactiv, implicit este de de secunde, adică ! oră ip inspectează udp secunde de inactivitate ! Timpul de nefuncționare, implicit este de secunde ip inspectează numărul maxim-incomplet scăzut ! Prag mai mic pentru numărul de conexiuni pe jumătate deschise, ! implicit este ip inspectează numărul maxim-incomplet mare ! Pragul superior pentru numărul de conexiuni pe jumătate deschise, ! implicit este ip inspectează numărul scăzut de un minut ! Prag mai mic pentru numărul de conexiuni pe jumătate deschise per ! un minut, implicit este ip inspectează numărul mare de un minut ! Pragul superior pentru numărul de conexiuni pe jumătate deschise ! pe minut, implicit este ip inspectați tcp max-incomplete număr gazdă bloc-timp secunde ! Numărul maxim permis de semi-deschise ! conexiuni cu o singură gazdă Ca exemplu, luați în considerare cazul în care utilizatorii din rețeaua au voie să navigheze pe Internet, inclusiv descărcarea de fișiere și utilizarea RealAudio (lista de control al accesului se numește sotrapu)' ip inspectați ftp timeout ip inspectați calea companiei realaudio timeout ip inspectați numele companiei ftp timeout ip inspect name company udp timeout ip inspectați numele companiei tcp timeout ! Protocoale enumerate care sunt permise! utilizatorii ! LAN și de monitorizat! Interfață ethernet O Lista de control al accesului bazat pe conținut (CAC) adresa ip grup de acces ip ieșire în ip inspectați firma în ! S-a aplicat lista de acces de ieșire la intrare ! trafic ! la interfața ethernet (care provine din local ! rețele) interfață serială O adresa ip IP acces-grup de intrare în ! S-a aplicat lista de acces inbound la inbound ! trafic pe interfața serială (incoming ! către rețeaua locală) ip access-list extins permis de ieșire ip any deny ip any any log ! Doar pachetele care provin din ! retea locala ! și au o adresă sursă din rețeaua internă, ceea ce nu este ! va da ! inițiază unele atacuri din rețeaua locală ip access-list extins inbound permis icmp orice echo-reply permis icmp orice traceroute permis icmp orice permis icmp orice time-ex unreachable deny ip any any Buturuga ! Accesul permis la rețeaua locală de către anumite ІСМР ! mesaje ! pentru a asigura experiența utilizatorului Astfel, listele de acces reflexive ale Cisco reprezintă un element al utilizării tehnologiei de inspecție de stat Firewall-uri la nivel de kernel Când se evaluează implementările practice ale ME, viteza este unul dintre parametrii principali Dificultate pro Verificările efectuate de DOE conduc de obicei la o scădere a productivității acestuia Pentru a elimina acest neajuns semnificativ, a fost dezvoltată tehnologia ME care operează la nivel de kernel (Kernel Proxy) Să luăm în considerare mai detaliat caracteristicile acestei tehnologii folosind exemplul Cisco Centry Firewall, care a folosit prima dată această tehnologie (ne vom concentra pe utilizarea elementelor tehnologiilor deja luate în considerare) Firewall-ul Cisco Centri încorporează punctele forte ale arhitecturilor anterioare (viteza de procesare în nucleu, dependența de sesiune pentru fiecare strat de protocol etc ) Acest ME este proiectat folosind tehnologia agentului autonom, ceea ce facilitează adăugarea de noi agenți pentru a rezolva noi probleme Schema de operare a nivelului de bază ME este prezentată în Fig Subsistemul de securitate al acestui ME utilizează multe elemente din tehnologiile ME considerate Subsistemul ME Cisco Centri include următoarele module principale: • nucleu de securitate; • modul de control gazdă; • Modul de control al canalului de comunicare ME; • agent de înregistrare a intrărilor; • agent de autentificare Modulul principal este nucleul de securitate Nucleul analizează fiecare pachet de intrare și de ieșire care trece prin serverul ME și aplică implementarea dată fiecărui pachet Orez Schema de funcționare a nivelului de bază ME politica de securitate ѵsnіnlennoy Nucleul de securitate funcționează în interiorul nucleului Windows NT, ceea ce face posibilă asigurarea unei performanțe ridicate a ME Pe baza politicii de securitate (aplicabilă fiecărei plăci de rețea), modulul de management controlează crearea unei conexiuni pentru cardul corespunzător Fiecare pachet de rețea este analizat pentru a vedea dacă aparține unei conexiuni existente Dacă există o astfel de conexiune pentru pachet, atunci pachetul este împins în stiva conexiunii existente Dacă nu, acesta este verificat de către modulul de control pentru prezența unei politici de conexiune Ca rezultat, pachetul este fie șters, fie se creează o stivă dinamică pentru noua conexiune, iar pachetul este transferat la acesta Nucleul de securitate, la rândul său, conține patru componente care alcătuiesc esența acestei tehnologii Interceptorul de pachete interceptează pachetele care sosesc la ME și le transmite modulului de verificare Interceptorul se află între stiva nativă de rețea Windows și driverele adaptorului de rețea Pentru interceptor, stiva Windows este o stivă externă, astfel încât interceptorul examinează toate pachetele înainte ca acestea să intre în stiva Windows în sine După ce a capturat pachetul, interceptorul îl transmite analizorului, care pregătește pachetul și datele corespunzătoare pentru lucrările ulterioare ale modulului de verificare folosind informațiile din antetul pachetului Modulul de verificare a securității aplică politica de securitate specificată (încărcată în nucleu de către agentul administrativ), inițializează și monitorizează sesiunile tuturor conexiunilor permise Astfel, pe baza pachetului și a datelor pregătite de analizor, modulul de verificare efectuează una dintre cele trei acțiuni posibile pentru fiecare pachet: • aruncă pachetul (exclude de la procesarea ulterioară); • determină că pachetul aparține unei conexiuni existente și transmite pachetul roxy-ului corespunzător; • stabilește (dacă pachetul este permis) o nouă conexiune cu crearea stivei de proxy dinamice corespunzătoare Mecanismele proxy-kernel folosesc stive dinamice care depind de protocolul de conexiune respectiv În prima versiune a ME, au fost implementate opt tipuri de stive dinamice Să luăm în considerare tipurile de proxy din ME la nivel de kernel și verificările efectuate în cadrul acestora Pentru IP: • verificarea adreselor sursă și destinație - se verifică, că o anumită adresă sursă are voie să interacționeze cu o adresă de destinație corespunzătoare; • • protectie impotriva atacurilor Ping of Death - se verifica ca fiecare pachet sa nu depaseasca lungimea maxima posibila Dacă lungimea pachetul este mai mare decât maximul, apoi pachetul este distrus și este generată o intrare de jurnal; • protecție împotriva atacurilor IP Spoof - atunci când se stabilește o nouă conexiune, sursa este verificată cu tabelele de rutare statice asociate plăcilor de rețea Dacă pachetul primit nu se potrivește cu tabelul stabilit, atunci acesta este distrus și este generată o intrare de jurnal Pentru ISMR: • se verifică conformitatea tipului pachetului ICMP primit cu regulile specificate Dacă acest tip nu este permis, atunci pachetul este distrus și este generată o intrare de jurnal Pentru TCP: • Port check - verifică dacă cererea de inițializare a conexiunii este trimisă către un port permis; • Protecție împotriva atacurilor SYN Flood - această verificare funcționează pe un contor predefinit al numărului de conexiuni pe jumătate deschise Valoarea contorului poate fi setată automat în funcție de memoria fizică reală a stivei Dacă valoarea acestui contor este depășită, se face o analiză a procentului de umplere a stivei (pentru conexiuni pe jumătate deschise) și adresele surselor acestora Pentru acele adrese care au fost primite anterior, conexiunile pe jumătate deschise sunt închise; • Funcția NAT - efectuează funcții de traducere a adresei Pentru UDP: • verifică dacă cererile de inițializare a serviciilor sunt direcționate către porturile permise Pentru HTTP: • Autentificarea utilizatorului - Inițiată prin transmiterea datelor corespunzătoare de solicitare a conexiunii către agentul de autentificare; • Filtrare HTTP - verificarea se efectuează în conformitate cu lista de fișiere și site-uri care pot fi utilizate în serviciul HTTP Această listă poate conține adrese, nume de domenii sau tipuri de fișiere (prin extensie, de exemplu, class, ocx, aix); • controlul acțiunilor permise - toate acțiunile asociate cu HTTP sunt verificate pentru prezența permisiunii corespunzătoare pentru utilizator (de exemplu, plasați un obiect pe un server HTTP, primiți un obiect de la un server HTTP); • Filtrare HTML - se verifică conținutul pachetelor de la nivelul aplicației Această verificare modifică, dacă este necesar, datele documentelor HTML transmise în timpul unei sesiuni HTTP: filtrare ActiveX (etichetele sunt eliminate), filtrarea appletului Java (etichetele sunt eliminate), filtrarea JavaScript și VBScript (etichetele ) Pentru FTP: • Autentificarea utilizatorului - Inițiată prin transmiterea datelor corespunzătoare de solicitare a conexiunii către agentul de autentificare; • suport pentru modul proxy "netransparent" - acest mod se realizează în cazul în care adresa din pachet este adresa firewall-ului propriu-zis Utilizatorii se pot conecta la serverul ME și, folosind comenzi FTP, la alte servere Acest mod este conceput pentru ca utilizatorii externi să lucreze cu serverele companiei; • controlul acțiunilor permise - sunt verificate toate acțiunile posibile asociate cu FTP, prezența permisiunilor utilizatorului de a utiliza serviciul corespunzător furnizat de protocol: citirea unui obiect de pe un server FTP, scrierea unui obiect pe un server FTP, ștergerea unui obiect din un server FTP, care se deplasează prin directoare Pentru Telnet: • Autentificarea utilizatorului - Inițiată prin transmiterea datelor corespunzătoare de solicitare a conexiunii către agentul de autentificare; • suport pentru modul proxy "netransparent" - realizat în cazul în care adresa din pachet este adresa firewall-ului propriu-zis Utilizatorii se pot conecta la serverul ME și apoi, folosind comenzi Telnet, la alte servere Acest mod este conceput pentru ca utilizatorii externi să lucreze cu serverele companiei; • Port Control - Verifică dacă cererile de inițializare a serviciului sunt direcționate către porturile Telnet permise Pentru SMTP: • contracararea atacului SMTP Flood - vă permite să ștergeți toate e-mailurile de la o anumită adresă sau rețea direcționată către rețeaua protejată; • caractere de rutare permise - indică dacă partea personalizată a antetului mesajului este permisă să conţină caractere de rutare: !, [, ], : şi %; • limitarea numărului de semne At (@) - arată câte semne @ pot conţine calea specificată de utilizator; • permisiunea comenzii Verify - se verifică dacă utilizarea comenzii VRFY este permisă la trecerea firewall-ului pe drumul către serverul SMTP; • Expand command permission - se verifică dacă utilizarea comenzii EXPN este permisă la trecerea firewall-ului pe drumul către serverul SMTP; • limitarea numărului de destinatari - vă permite să setați numărul de abonați cărora le este adresat un mesaj; • limită lungime mesaj - vă permite să setați lungimea maximă permisă pentru transmisie (în octeți) În acest DOE, se aplică regulile de filtrare Există reguli de filtrare statice și dinamice pentru conexiuni, controlul este organizat la nivel de aplicație etc În plus, tot traficul intern dintre baza de cunoștințe DOE și agenți este criptat folosind Microsoft Crypto API Deși Cisco Centri în sine a fost întrerupt, ideile sale și-au găsit o aplicare largă în dezvoltarea diverșilor producători Majoritatea ME-urilor moderne operează la nivelul nucleului sistemului de operare, care nu este sisteme de operare generale, ci sisteme de operare special dezvoltate Firewall-uri personale Tipurile de ME luate în considerare, în special ME de la nivelul aplicației și nivelul kernelului, sunt produse extrem de complexe și costisitoare; prin urmare, ME-urile personale au început să fie dezvoltate pentru a proteja computerele utilizatorilor individuali ME-urile personale (se mai numesc și încorporate, încorporate) sunt produse software care se află în interiorul unui computer la cel mai scăzut nivel al sistemului de operare - între plăcile de rețea și toate stivele de protocoale (TCP/IP, NetBEUI, ІРХ etc pentru Windows) Firewall-urile personale îndeplinesc de obicei două funcții principale de protecție: protecție împotriva atacurilor externe și protecție împotriva atacurilor de la acest computer De exemplu, să aruncăm o privire rapidă la doi membri ai familiei de firewall personale: Windows XP Firewall și Tiny Firewall Firewall Windows XP Service Pack pentru Windows XP include Windows Firewall, care este un firewall personal care utilizează tehnologia stateful Acest firewall instalează două seturi de configurații numite profiluri Un profil (Domain Profile) este utilizat atunci când computerul se află într-un domeniu, iar celălalt este utilizat când computerul nu este conectat la un domeniu (Standard Profile) În mod implicit, firewall-ul folosește Profilul Standard Se creează o listă de excluderi pentru fiecare profil Setările implicite ME în cele mai multe cazuri nu necesită modificări și sunt orientate spre utilizarea accesului client normal la Internet (navigare pagini Web, lucru cu e-mail) În acest caz, toate conexiunile de intrare care nu sunt solicitate de utilizator sunt respinse Firewall-ul blochează tot traficul de intrare care nu este Este un răspuns la traficul solicitat și trafic care nu a fost definit ca fiind permis Printr-o interfață simplă, utilizatorul poate seta principalele moduri, funcții și parametri de funcționare Să enumerăm pe scurt setările principale: • funcționarea într-unul din cele trei moduri (Op, Op fără excepții, Off) În modul Op (activat), tot traficul de intrare este blocat, cu excepția celui specificat în lista de excludere În modul Op with No Exception (activat și fără excepții), tot traficul este blocat, chiar dacă este specificat în lista de excepții În modul Off, firewall-ul nu blochează nimic; • dezactivarea mesajelor (notificărilor) către utilizator care sunt afișate în cazul în care un program care nu este inclus în lista de excluderi încearcă să se adauge el însuși sau traficul său la lista de excluderi; • blocarea răspunsurilor primite la solicitările de difuzare În mod implicit, firewall-ul permite trimiterea unui singur pachet către un port în termen de trei secunde după ce o solicitare a fost trimisă prin acel port; • permisiunea de a primi anumite tipuri de mesaje ICMP În mod implicit, toate tipurile de mesaje sunt blocate; • Deschiderea porturilor - Când utilizați Profilul standard, ecranul deschide static porturile care sunt specificate în lista de excludere Se recomandă ca, în loc să deschideți porturi, să includeți programe în lista de excludere, ceea ce va permite ecranului să deschidă dinamic porturi atunci când este necesar de programul corespunzător Dacă este necesar să deschideți porturi, atunci sunt specificate numărul portului, protocolul (TCP sau UDP), intervalul sau valorile adreselor IP (de la care se așteaptă trafic) și modul (permis, interzis) De asemenea, puteți configura canale de administrare la distanță și de înregistrare a securității Acest format de fișier jurnal urmează specificația Extended Log File Format a W C (http://www w org/TR/WD-logfile html) Apariția unui firewall personal pentru un sistem de operare popular este un pas semnificativ înainte în asigurarea securității utilizatorilor individuali conectați la Internet sau la alte rețele În prezent, acest firewall personal oferă protecție limitată numai împotriva traficului de intrare Tiny Firewall Tiny Firewall este un firewall personal dezvoltat de Tiny Software Inc (http^/www tinysoftware com), format în O caracteristică a acestui produs este că a fost creat inițial pentru platforma Windows În prezent, a șasea versiune a produsului a fost deja lansată Folosind o interfață ușor de utilizat, utilizatorul poate marca toate aplicațiile sau grupurile de aplicații introduse în baza de date a aplicațiilor protejate Aceste aplicații sau grupuri de aplicații li se atribuie reguli specifice Dacă mecanismul de securitate a ecranului constată că o anumită activitate se potrivește cu regula existentă, atunci verifică dacă aplicația corespunzătoare se află în baza de date (dacă este, atunci i se aplică regula corespunzătoare) Dacă nu există nicio aplicație în baza de date, atunci mecanismul întrerupe activitatea și întreabă utilizatorul despre acțiunea dorită: închideți aplicația, rulați-o (inclusiv modul de instalare) sau includeți-o în baza de date Acest ME utilizează tehnologia de control a stării conexiunii TCP și controlul stării sesiunii UDP și ICMP În plus, se folosește filtrarea conținutului Un firewall oferă atât protecție pentru activitatea de rețea, cât și protecție pentru sistemul pe care este instalat Pentru a proteja activitatea în rețea, Tiny Firewall conține un mecanism de securitate a rețelei care îndeplinește următoarele funcții principale: • filtrarea pachetelor; • protecție împotriva încercărilor de a transfera date în exterior prin procese necunoscute; • protecție împotriva utilizării aplicațiilor cunoscute prin procese necunoscute; • filtrarea selectată a traficului de rețea pe interfețe; • filtrarea selectată a traficului care vine la interfață de la mai multe adrese IP; • împărțirea interfețelor în zone; • restricţii temporare de trecere a traficului etc Protecția sistemului este asigurată de mecanisme speciale care vă permit să setați o listă de aplicații de încredere și drepturile lor de acces la sistem Acest lucru vă permite să izolați aplicațiile și să oferiți următoarele caracteristici de securitate: • prevenirea introducerii codului; • controlul proceselor de trecere; • protecția fișierelor; • protecția registrului; • controlul instalării serviciilor de sistem; • protecția dispozitivelor (prevenirea utilizării ilegale a dispozitivelor USB, porturi COM, modemuri etc ); • control deplin al încărcării DLL etc Acest firewall personal oferă control bidirecțional al traficului, care se compară favorabil cu firewall-ul Windows XP Un alt avantaj al firewall-ului Typepu este că (începând cu versiunea ) conține funcții de detectare și prevenire a intruziunilor Detectarea intruziunilor este implementată folosind o abordare bazată pe semnătură, folosind regulile Snort, iar după detectare, întreruperea traficului rău intenționat este implementată Importul bazei de date de semnături de către Snortlmp este acceptat Acest lucru vă permite să vă protejați de tipurile cunoscute de spyware și să completați baza de date cu propriile semnături Firewall-uri distribuite Deoarece în ultimii - ani, firewall-urile au devenit unul dintre principalele mijloace de protecție a rețelei, este destul de natural ca atacatorii au început să dezvolte metode de atac "prin firewall" sau metode de atac ale firewall-ului în sine ca prima linie de apărarea rețelei corporative Prin urmare, eforturile cercetătorilor au fost îndreptate către dezvoltarea unor metode de protejare a ME-urilor înșiși de atacurile din exterior Dovadă în acest sens este includerea în programul de studiu a calităților DOE (desfășurate anual în Statele Unite) întrebări privind rezistența DOE la atacuri - așa-numitele teste de penetrare În tehnologia ME distribuită în sine, se pot distinge două direcții principale: • construirea unui sistem de firewall-uri distribuite care implementează un PB complex al unei organizații; • construirea unui sistem de componente ME distribuite care implementează un PB dat La construirea sistemelor ME distribuite, componentele lor funcționale sunt distribuite pe nodurile rețelei și pot avea funcționalități diferite Când sunt detectate semne suspecte pentru un atac, modulele de control ale unui firewall distribuit pot modifica în mod adaptiv configurația, compoziția și locația componentelor În prezent, sistemele ME distribuite sunt reprezentate în principal doar de prototipuri de cercetare Ocoliți firewall-urile Deoarece firewall-urile sunt primul element de protecție, de regulă, principalele eforturi ale atacatorilor se concentrează asupra lor atunci când efectuează atacuri asupra rețelelor corporative Din analiza tendințelor existente și a mijloacelor de ocolire a ME, se pot distinge două abordări principale: o abordare graduală (firewalking) și tunelare Abordare graduală Abordarea graduală (firewalking) este înțeleasă ca o tehnică de colectare a informațiilor despre o rețea la distanță protejată de firewall-uri Această metodă utilizează trimiterea și analiza pachetelor IP, similare cu utilitarul traceroute, pentru a determina dacă un anumit pachet poate trece printr-un dispozitiv de filtrare a pachetelor către gazda destinație Metoda vă permite să determinați porturile deschise ale acestui dispozitiv, posibilitatea de a trece pachete pentru diverse servicii prin acest port etc Utilitarul traceroute este conceput pentru a enumera toate gazdele de pe ruta către o destinație Trimite pachete UDP sau ICMP ecou (ping) către gazda destinație, în care câmpul TTL (Time To Live) crește după fiecare pas reușit (în mod implicit, un pas constă în trimiterea a trei pachete) Dacă se utilizează un pachet UDP, atunci numărul portului de destinație crește cu unul cu fiecare sondă La primirea unui pachet cu TTL = , routerul renunță la pachet și trimite un mesaj ergo (timp de viață depășit în tranzit) gazdei ICMP inițiatoare Acest lucru va permite gazdei inițiatoare să știe pe ce router a fost aruncat pachetul Pentru a se asigura că se primește un răspuns de la gazda destinație (un port ICMP inaccesibil sau un răspuns ICMP ecou), utilitarul traceroute trimite următorul pachet UDP la un număr mare de port care cel mai probabil nu este utilizat de aplicații Pe baza utilitarului traceroute au fost dezvoltate instrumente care permit efectuarea analizei necesare Un astfel de instrument este firewalk Instrumentul firewalk trimite pachete TCP și UDP cu un TTL mai mare decât gateway-ul țintă Dacă gateway-ul trece trafic, atunci pachetul trece la următorul dispozitiv, pe care valoarea TTL va fi Dacă gateway-ul nu trece acest pachet, atunci îl șterge fără a trimite niciun mesaj Abordarea vă permite să definiți elementele listei de control acces a gateway-ului tunelare Termenul "tunnel" se referă la tehnologia generală de transfer a unui protocol printr-o rețea comună folosind un alt protocol Să presupunem că doe permite pachete de protocol HTTP Apoi, dacă în spatele firewall-ului din rețeaua internă există o mașină pe care este instalat clientul de tunel, puteți organiza schimbul de date care vor fi transmise de firewall Acest canal este ascuns Prin canal ascuns se înțelege orice canal de comunicare care poate fi utilizate în procesul de transfer de informații ocolind politica de securitate a sistemului În , revista Phrack (http://www phrack org/) a descris un instrument LOKI care folosea pachete ICMP pentru a trece printr-un firewall În , a apărut instrumentul Rwwwshell, care a tunelizat comenzile shell în interiorul solicitărilor HTTP, cu shell-ul interactiv folosind mesajul de eroare returnat pentru a transmite comenzile de control Această idee a fost dezvoltată și implementată în continuare în instrumentul httptunnel, care este conceput pentru a crea un tunel HTTP punct la punct, dar poate fi folosit și pentru a conecta aplicații care rulează pe alte protocoale (de exemplu, SSH sau Telnet) pentru a oferi acces necontrolat prin MINE Același instrument este libTunnel, care folosește HTTP ca transport pentru transferul diferitelor mesaje între aplicații prin firewall Acest instrument include o bibliotecă care poate fi folosită pentru a construi aproape orice aplicație care utilizează tunelul HTTP Algoritmul pentru interacțiunea client-server atunci când se utilizează libTunnel include următorii pași: ) dacă clientul are un mesaj, atunci trimite o solicitare HTTP, POST; ) dacă clientul nu are informații, atunci trimite o cerere HTTP-GET; ) dacă serverul are un mesaj pentru client, atunci îl returnează în corpul răspunsului HTTP Această bibliotecă vă permite, de asemenea, să configurați aplicația client să lucreze cu serverul Proxy pentru a asigura funcționarea corectă a tunelului prin orice număr de gateway-uri, iar aplicația server să lucreze cu mai mulți clienți în același timp Utilizarea tunelului înseamnă utilizarea încapsulării protocolului în interconectarea În procesul de încapsulare sunt utilizate trei tipuri de protocoale: protocolul transportator, protocolul pasagerilor și protocolul de încapsulare Protocolul de transport al rețelelor interconectate este protocolul pentru pasageri, iar protocolul rețelei de tranzit este protocolul transportator Pachetele protocol-pasager sunt plasate în câmpul de date protocol-purtător folosind un protocol special de încapsulare Pachetele de protocol pentru pasageri nu sunt procesate atunci când sunt transportate prin rețeaua de tranzit Încapsularea și extragerea pachetelor protocolului-pasager se realizează prin dispozitive edge situate la granița dintre rețelele sursă și de tranzit, care indică adresele acestora în pachetele purtător, și nu adresele nodurilor destinație DE Prin analogie cu comutarea rețelei, pentru a utiliza un tunel printr-un sistem de protecție, trebuie rezolvate următoarele sarcini: • dezvoltarea unui protocol de transport, un protocol pentru pasageri și un protocol de încapsulare; • analiza metodelor de detectare a tunelurilor și reduce influența factorilor de demascare protocolul purtătorului De foarte multe ori HTTP este folosit ca protocol de transport La niveluri inferioare, există și mecanisme pentru construirea de canale ascunse (de exemplu, puteți utiliza identificatorul de pachet IP, numărul ACK în pachetele TCP, mesaje, răspunsuri la interogare DNS), dar aceste mecanisme, de regulă, necesită drepturi privilegiate de la utilizator și au restricții diferite Prin urmare, pentru a implementa canale ascunse și instrumentele lor de proiectare, protocolul HTTP este cel mai des folosit ca transport pentru informații Acest lucru se datorează lărgimii distribuției sale, ușurinței de a ascunde fluxul de date, ușurinței de implementare, precum și dificultății de a detecta anomalii în protocol Pentru ca un pachet de date să traverseze perimetrul de securitate, protocolul trebuie să fie permis pentru utilizare de către entitatea care a inițiat transferul Subiectul poate fi un utilizator de sistem sau o aplicație care lucrează în numele său (de exemplu, un browser) Astfel, pentru a organiza transmiterea datelor prin tunel, este necesar să se rezolve probleme auxiliare: • au permisiunea de a trimite date prin perimetrul de securitate; • ascundeți cu succes faptul că un canal autorizat este utilizat abuziv Protocolul pentru pasageri are un impact foarte mic asupra structurii generale a tunelului, el reprezintă unele date care trebuie transmise prin tunel Acesta poate fi un flux de date creat de o anumită aplicație (de exemplu SSH) sau orice altă informație (de exemplu, un fișier), un set de comenzi de control și așa mai departe Tipul de informații transmise afectează semnificativ protocolul de încapsulare ■ protocol de încapsulare Canalele ascunse pot fi clasificate în două grupe pe baza protocolului încapsulat în protocolul purtător: ) canal de transmisie a fluxului de date aplicației (ssh, telnet etc ); ) un canal creat special de un atacator În primul caz, de regulă, se creează un trafic relativ mare, care demască canalul ascuns În al doilea caz, detectarea unui canal ascuns devine mai dificilă, mai ales atunci când canalul folosește tehnici de steganografie Să presupunem că agentului i se oferă o listă de macrocomenzi în avans: pisica IA, în ecou, A "/etc/passwd", A>, A "rădăcină:: : :rădăcină:/:/bin/sh" Apoi interogări complet inofensive precum: GET /path A- A htm HTTP/I Oi GET /path/lB- A- A- A htm HTTP/ poate fi ratată de sistemele de securitate Datele transmise prin canalul secret pot fi text simplu sau pot folosi tehnici de criptare sau steganografie Ca container (un element al protocolului HTTP care conține datele transmise) în cererile HTTP care nu conțin un corp de mesaj (metode GET, HEAD, DELETE), pot servi următoarele: • șir de adresă (URI); • lista de titluri; • corpul răspunsului, care poate conține datele returnate (cu excepția metodei HEAD) În cererile HTTP care conțin un corp de mesaj, puteți adăuga un corp de solicitare la parametrii de mai sus, așa cum este ilustrat în exemplul următor Solicitarea clientului: POST [date transmise]/cdі-bin/server cdі? [date transmise] HTTP/ Gazdă: Lungimea conținutului: tip-conținut: aplicație/flux-octet X-Data: [date transmise] [date transmise] Răspunsul serverului: HTTP/ OK Data: joi, iulie : : GMT Server: Apache/ Lungimea conținutului: Tip de conținut: aplicație/flux-octet X-Data: [date returnate] [date de returnare] Există restricții privind dimensiunea datelor transmise în diferite părți ale pachetului HTTP, care sunt asociate cu implementările software existente și sunt specificate în descrierea protocolului Cerințe pentru firewall și metrici de securitate Comisia Tehnică de Stat (STC) sub președintele Federației Ruse (acum Serviciul Federal pentru Control Tehnic și Export, care este succesorul Comitetului Vamal de Stat) a stabilit cerințele și indicatorii de securitate ai Ministerului Energiei în documentul de guvernare "Facilități de calculatoare Firewall-uri Protecție împotriva accesului neautorizat la informații Indicatori de securitate împotriva accesului neautorizat la informații" din Acest document stabilește clasificarea Ministerului Energiei în funcție de nivelul de protecție împotriva accesului neautorizat la informații pe baza unei liste de indicatori de securitate și a unui set de cerințe care îi descriu Documentul notează că diferențierea modului de abordare a alegerii funcțiilor de protecție în ME este determinată de sistemul automatizat, pentru protecția căruia este utilizat acest ME Cinci clase de securitate au fost stabilite de ME: a cincea (cea mai joasă) clasă, utilizată pentru interacțiunea sigură a difuzoarelor din clasa D cu mediul extern, a patra - pentru difuzoarele din clasa G, a treia - pentru difuzoarele din clasa B, a doua - pentru difuzoarele clasa B și prima (cea mai înaltă) - pentru clasa AC ІА Principalele clase de securitate și indicatorii acestora sunt redate în tabel (în tabel, semnul "+" înseamnă prezența sau cerințe suplimentare, semnul "=" înseamnă cerințe din clasa inferioară) Tabelul Principalele clase de securitate ale ME Indicatori de securitate Clasele de securitate Controlul accesului (filtrarea datelor și traducerea adreselor) + + + + - Identificare și autentificare + = + Înregistrare + ' + + =: Administrare: identificare și autentificare Administrare: + - + + + Administrare înregistrare: + + + - ușurință în utilizare + + Integritate + + + + Recuperare + - - + - Testarea -F + + + + Sfârșitul mesei Indicatori de securitate Clasele de securitate Ghidul administratorului de securitate + - - - = Documentația de testare + + + + Documentația de proiectare (proiect) + + = + În tabel prezintă cerințele specifice ale indicatorului "Controlul accesului" pentru diferite clase de firewall-uri Când un firewall este inclus într-un sistem automat de o anumită clasă de securitate, clasa de securitate Tabelul Cerințe ale indicatorului "Control acces" Cerințe de clasă ME trebuie să ofere filtrare la nivel de rețea Decizia de filtrare poate fi luată pentru fiecare pachet de rețea în mod independent pe baza cel puțin adreselor de rețea sursă și destinație sau alte atribute echivalente În plus, ME trebuie să asigure: filtrarea pachetelor de protocoale de serviciu utilizate pentru diagnosticarea și controlul funcționării dispozitivelor de rețea, filtrarea ținând cont de interfața de rețea de intrare și ieșire ca mijloc de autentificare a adreselor de rețea, filtrarea ținând cont de orice câmpuri semnificative de pachete de rețea În plus, ME ar trebui să asigure: filtrarea la nivel de transport a cererilor de stabilire a conexiunilor virtuale Aceasta ține cont de adresele de transport ale expeditorului și destinatarului, filtrând la nivelul aplicației cererile către serviciile aplicației Totodata, se iau in considerare cel putin adresele de aplicatie ale expeditorului si destinatarului, filtrandu-se in functie de data/ora În plus, ME ar trebui să ofere: capacitatea de a ascunde subiecte (obiecte) și (sau) funcții de aplicare ale unei rețele securizate, capacitatea de a traduce adrese de rețea Cerințele coincid pe deplin cu cerințele pentru clasa a II-a Performanța sistemului automatizat agregat obținut de la cel original prin adăugarea unui firewall la acesta nu trebuie redusă Pentru sistemele automatizate din clasele ZB, B trebuie aplicate ME de cel puțin clasa Pentru sistemele automate din clasele A, A (în funcție de importanța informațiilor care sunt prelucrate), trebuie aplicat ME din următoarele clase: • la prelucrarea informațiilor clasificate ca "secrete" - nu mai mici decât clasa a III-a; • la prelucrarea informațiilor clasificate ca "top secret" - nu mai mici de clasa a II-a; • la prelucrarea informațiilor clasificate ca "de importanță deosebită" - nu mai mici decât clasa I Testare firewall Întrucât ME este situat la granița a două rețele și este un punct de acces nodal, îi este încredințată cea mai importantă sarcină de a proteja informațiile Organizațiile care folosesc ME doresc să se asigure că punctul lor de acces principal funcționează corect și fiabil Acest lucru este deosebit de important în contextul schimbărilor dinamice din organizație Această problemă este rezolvată prin testarea ME Există două abordări principale pentru testarea DOE: testarea orientată spre dezvoltare (să-i spunem testare de sine stătătoare) și testarea operațională, numită testare de penetrare (Penetrating Testing) Scopul testării autonome este de a verifica exhaustiv performanța ME a funcțiilor sale Pentru a face acest lucru, se efectuează verificări pentru implementarea politicii de securitate specificate de către ME: ) verificarea conformității cu cerințele de securitate: • îndeplinirea funcţiilor de control acces; • controlul corespondenței înregistrărilor în jurnalul de înregistrare; • controlul subsistemului de generare a semnalelor de alarmă; • controlul disponibilității; ) verificarea funcționalității necesare: • verificarea serviciilor de ieșire (înspre lumea exterioară); • verificarea serviciilor primite (în rețeaua protejată); • verificarea serviciilor necesare interacțiunii cu Internetul În plus, sunt verificate regulile de configurare a ME și posibilitatea administrării ME în sine Este deosebit de important să se verifice performanța ME, deoarece se află pe linia principală a schimbului de date cu lumea exterioară Testarea implementării politicii de securitate definite de către firewall este implementată prin înregistrarea datelor de înregistrare (jurnal) înainte și după firewall Următoarele atacuri și investigații pot fi folosite în acest scop: falsificarea adreselor, deturnarea sesiunii, fragmentarea pachetelor, rutarea sursei, atacurile DNS, redirecționarea RIP/ICMP, atacurile ARP, scanarea portului, trimiterea de pachete cu încălcări RFC, saturarea traficului etc Atunci când se efectuează testarea orientată spre dezvoltare, se efectuează următoarele acțiuni: compararea configurației reale a DOE cu PB existent, examinarea manuală a configurației prin interfețele DOE, testarea operațională - mostre ale DOE însuși pentru a căuta servicii deschise, verificarea corectitudinii actiunilor propuse, studierea corectitudinii controlului serviciilor permise etc La testarea performanței, se determină viteza de efectuare a operațiunilor de către firewall, dacă firewall-ul nu permite traficul interzis Sunt măsurate și evaluate întârzierile introduse de DOE în timpul procesării traficului saturat Testarea managementului testează gradul de utilizare, completitudinea și eficacitatea procedurilor de configurare și de gestionare a firewall-ului Cerințele testării autonome includ cerințele indicatorului "Testare" din documentul de conducere al Comitetului Vamal de Stat, care sunt prezentate în tabel Analiza a numeroase cazuri de pătrundere în rețele protejate de firewall-uri a arătat că testarea independentă a firewall-ului nu este suficientă pentru a ne asigura că acestea funcționează corect Una dintre cele mai importante proprietăți ale ME ar trebui să fie rezistența sa la atacurile îndreptate către ME în sine Acest lucru se datorează faptului că atacatorii își direcționează mai întâi eforturile pentru a "neutraliza" ME sau a o ocoli Când se efectuează un atac asupra ME, sunt posibile următoarele patru cazuri: • ME supraviețuiește atacului și continuă să funcționeze; • atacul duce la prăbușirea ME, care repornește și continuă să funcționeze; • atacul duce la prăbușirea firewall-ului, care interzice trecerea oricărui trafic; • atacul duce la prăbușirea firewall-ului, care permite trecerea oricărui trafic Fiecare dintre aceste cazuri ar trebui investigat, deoarece are un impact semnificativ asupra securității rețelei Până acum, nu există o metodologie general acceptată pentru testarea de penetrare Acest lucru se datorează atât complexității sarcinii, cât și faptului că testerii sunt extrem de reticenți în a-și împărtăși cunoștințele Una dintre cele publicate Tabelul Cerințe ale indicatorului "testare" Cerințe de clasă DOE ar trebui să ofere posibilitatea testării de rutină: implementarea regulilor de filtrare, procesul de identificare și autentificare a administratorului, procesul de înregistrare a acțiunilor administratorului DOE, procesul de monitorizare a integrității programului și a părților de informații ale DOE, procedura de recuperare În plus, ar trebui să fie posibilă testarea de rutină a procesului de înregistrare În plus, ar trebui să fie posibilă testarea de rutină a procesului de identificare și autentificare a cererilor Îndeplinește cerințele clasei a III-a În plus, ar trebui să se asigure posibilitatea testării de rutină a procesului de control centralizat al componentelor ME și o interfață grafică pentru gestionarea ME Metodologiile de testare a penetrației este o metodologie dezvoltată de Moyer (Moyer) Metodologia pornește de la premisa că încercările de a ataca firewall-ul nu oferă o imagine completă a securității Toată infrastructura protejată de DOE ar trebui testată Prin urmare, metodologia propusă include patru grupuri principale de acțiuni: • atacuri externe; • atacuri interne; • atacuri articulare (atacuri coordonate din exterior și din interior); • Analiza procedurilor de dezvoltare și suport pentru potențiale vulnerabilități Atacuri externe - un grup de acțiuni care include colectarea de informații (prin metode indirecte care nu afectează sistemul țintă și nu pot fi detectate de acesta), sonde (colectare de informații despre sistemul țintă prin metode care ar trebui să fie detectate de țintă sistem), atacuri (efectuarea încercărilor de intruziune pe baza datelor colectate și a bazelor de date existente de vulnerabilități), întreruperea serviciilor DOE însuși în cazul atacurilor cu succes Atacurile interne sunt efectuate pe baza faptului că atacatorul are deja acces la computerul rețelei interne protejat de firewall Acest lucru poate folosi în mod constant diferite niveluri de acces disponibile: utilizator, dezvoltator de software sau administrator În cazul atacurilor comune, se crede că un atacator extern este în coluziune cu utilizatorul organizației pentru a înșela sistemul de protecție sau a transmite date prin ME Acest lucru devine posibil dacă grupurile de acțiune anterioare au avut succes De obicei, în această etapă, se utilizează construcția sau implementarea unui sistem de tunel printr-un protocol permis de ME Scopul analizei procedurilor de dezvoltare și suport este de a găsi metode și metode de penetrare care au fost omise în timpul implementării celor trei grupuri de acțiuni anterioare Pentru aceasta, se analizează dezvoltarea ME în sine, metodele de aplicare a acestuia, se analizează procedurile administrative și datele înregistrate de ME Testarea de penetrare utilizează: • teste manuale (testerul execută comenzi sau execută programele sale); • acțiuni interactive (testerul efectuează acțiuni, analizează rezultatele și determină acțiuni ulterioare); • scanere de securitate de diferite tipuri; • instrumente de hacking, dintre care multe sunt disponibile publicului Încercările manuale și activitățile interactive sunt strâns legate și în multe cazuri nu pot fi separate Scanerele de securitate și instrumentele de hacking conțin de obicei un anumit grad de automatizare Întrebări de control Care este scopul principal al firewall-urilor? Pot fi aplicate ACL-urile atât pentru traficul de intrare, cât și pentru cel de ieșire pe aceeași interfață de router? Specificați straturile modelului de rețea la care se aplică filtrarea pachetelor Care sunt principalele diferențe dintre traducerea de adrese statică și dinamică? Care este importanța funcției de traducere a adreselor în ceea ce privește securitatea informațiilor? De ce este importantă ordinea regulilor într-o listă de control al accesului sens? • Ce principiu este de preferat pentru filtrarea pachetelor: "ceea ce nu este interzis este permis" sau "ceea ce nu este permis este interzis" De ce? Enumerați parametrii principali care sunt de obicei incluși în tabelul de stare Care sunt caracteristicile utilizării serviciului Proxy? De ce este necesar să se aplice filtrarea dinamică? Formulați conceptul de sesiune virtuală Denumiți posibilele atacuri atunci când utilizați o listă dinamică de control al accesului Specificați scopul duratei de viață a listei de control dinamic acces Ce straturi ale stivei de rețea TCP/IP sunt utilizate în inspecția de stat? Numiți compoziția parametrilor principali care ar trebui să fie cuprinsi în tabelul de stare Ce regulă "implicit" este prezentă în lista de acces extinsă și nu în cea reflectivă? Care sunt principalele diferențe dintre listele de control de acces reflexiv și ACL-uri Ce tehnologii de filtrare firewall pot fi aplicate la nivel de kernel? De ce regulile de bază de filtrare pentru firewall-urile personale sunt setate "în mod implicit"? Care sunt principiile de bază ale utilizării firewalking-ului Poate fi același protocol un protocol de pasageri și un protocol de transportator? Care sunt corespondențele dintre clasa firewall și clasa sistemului automatizat pe care îl protejează? Prezentați principalele obiective ale testării de penetrare SISTEME DE DETECȚIE A ATACURILOR ȘI A INTRUZIUNILOR Contramăsurile bune sunt cele care nu numai că protejează împotriva amenințărilor cunoscute, ci și acționează eficient în cazuri neprevăzute B Schneier Secrete și minciuni Firewall-urile, fiind prima linie de apărare în profunzime, nu pot oferi o protecție completă adecvată din următoarele motive: • erori sau deficiențe de proiectare - diverse tehnologii firewall nu acoperă toate posibilitățile de pătrundere în rețeaua protejată; • Defecte de implementare - deoarece fiecare ME este un complex software (software și hardware) complex, implementarea sa conține erori În plus, nu există o metodologie generală de testare care să permită să se determine calitatea implementării software-ului și să se asigure că toate proprietățile specificate sunt implementate în ME; • deficiențe de aplicare (funcționare) - utilizarea ME pentru protecția reală a rețelelor întâmpină mai multe circumstanțe grave, care includ dificultatea implementării unei anumite politici de securitate a rețelei de către mecanismele ME, prezența erorilor în configurarea ME și prezența administrării erori Administrarea ME este o sarcină destul de complexă și necesită anumite calificări și experiență din partea administratorului ME În plus, atacurile pot fi efectuate și din partea rețelei protejate, ceea ce este complicat de faptul că sunt inițiate de utilizatori care, în primul rând, au acces la elementele de rețea, iar în al doilea rând, cunosc sau reprezintă organizarea protecției sistem EU este "punctul unic" prin care trec toate conexiunile cu lumea exterioară Prin urmare, orice eroare software, vulnerabilitate software sau eroare de configurare a firewall-ului poate duce la pătrunderea în rețeaua protejată Aceste motive și similare au necesitat menținerea unor jurnale de audit detaliate, ca urmare a analizei cărora specialiștii (experții) trag o concluzie despre intruziunile comise venelor Rezultatele unei astfel de analize sunt folosite pentru a elimina cauzele unei încălcări sau pentru a forma noi reguli (semnături) pentru a proteja împotriva intruziunilor O astfel de analiză este complicată de multe motive, printre care principalele sunt: • cantitate mare de date din jurnalul de audit; • absenţa semnelor semnificative pentru detectarea intruziunilor în jurnalele; • complexitatea analizei datelor din diverse reviste; • analiza faptului împlinit (obținerea de date despre un atac care a trecut deja cu succes, adică despre o intruziune); • necesitatea calificării înalte a specialistului care efectuează analiza; • complexitatea regulilor (semnăturilor) conform semnelor depistate ale unui atac Prin urmare, eforturile cercetătorilor vizează dezvoltarea proceselor de detectare a intruziunilor și automatizarea procesului de detectare Astfel de sisteme se numesc sisteme de detectare a intruziunilor Atunci când luăm în considerare sistemele de detectare a intruziunilor (IDS), se utilizează un domeniu, ale cărui elemente sunt adesea termeni folosiți în mod obișnuit Deoarece interpretările diferite ale termenilor conduc la confuzie, vom discuta termenii individuali care vor fi utilizați în cele ce urmează Atacul - acțiuni întreprinse de un atacator împotriva unui computer (sau a rețelei) a unei potențiale victime Din punctul de vedere al unui observator neutru, un atac poate fi nereușit (nereușit) și reușit (reușit) Un atac reușit se numește invazie Intruziune - intrare neautorizată în sistemul informațional (ca urmare a unor acțiuni care încalcă politica de securitate sau ocolesc sistemul de protecție) Un sistem de detectare a intruziunilor este un complex (hardware și software) care, pe baza rezultatelor analizei datelor controlate și colectate, ia o decizie cu privire la prezența unui atac sau a unei intruziuni Alarmă falsă (fals pozitiv) - generarea unui semnal despre detectarea unui atac (intruziune), care nu a fost Pass (fals negativ) - omiterea unui atac sau intruziune (fără semnal de alarmă în prezența unei intruziuni) Termenul comun acceptat - sistem de detectare a intruziunilor - în multe cazuri este folosit și pentru sistemele de detectare a intruziunilor (IDS) În cazurile în care nu există confuzie, vom folosi abrevierea SOB Modele de sisteme de detectare a intruziunilor Istoria apariției SOW este de aproximativ un sfert de secol Să notăm pe scurt principalele repere în dezvoltarea tehnologiei de detectare a intruziunilor și a intruziunilor (Tabelul ) Tabelul Cronologia dezvoltării SOW Evenimente de anul Articolul de James Anderson "Monitorizarea și supravegherea amenințărilor la securitatea computerelor" Articolul a menționat că înregistrările de audit conțin informații importante care pot fi folosite pentru a detecta comportamentul rău intenționat al utilizatorilor Pentru prima dată, a apărut conceptul de detectare a evenimentelor rău intenționate și specifice utilizatorului Articolul a dat impuls ordinelor guvernamentale pentru dezvoltarea sistemelor de detectare Dorothy Dcnning de la SRI International a început să dezvolte o ideologie de detectare a intruziunilor Scopul lucrării este de a analiza înregistrările de audit ale sistemelor informatice de stat și de a crea profiluri de utilizatori pe baza activității lor curente Dorothy Denning și Petcr Neumann au dezvoltat primul model de detectare a intruziunilor, IDES (Intrusion Detection Expert System), ale cărui rezultate au fost publicate într-un raport tehnic în Articolul Denning "An Intrusion-detection model" Primul articol teoretic care descrie abordarea, modelele de descoperire și dezvoltarea sistemului IDES Apariția primelor prototipuri de SOW Anii Boom în dezvoltarea IDS comercial sponsorizat de Departamentul Apărării al SUA Introducerea sistemului NetRanger (Wheelgroup) Apariția sistemului RealSecure (Internet Security Systems) Apariția sistemelor de prevenire a intruziunilor (sisteme de detectare a intruziunilor cu contramăsuri active) Orez Schema de analiză a datelor de audit Primele modele și prototipuri de sisteme de detectare a intruziunilor au folosit analiza datelor de audit al sistemelor informatice Schema de analiză a datelor de audit este prezentată în fig Să luăm în considerare principalele modele care stau la baza celor mai moderne IDS-uri: modelul D Denning și modelul propus de CIDF (Common Intrusion Detection Framework) Modelul D Denning Acest model se bazează pe presupunerea că încălcările de securitate pot fi detectate prin revizuirea înregistrărilor de audit Modelul include șase componente principale: ) subiecte; ) obiecte; ) înregistrări de audit; ) profile; ) înregistrări ale anomaliilor; ) reguli de activitate Subiecte Inițiatorii oricărei activități sunt considerați subiecți în model, de obicei sunt utilizatori ai sistemului Subiectele pot fi procese ale utilizatorilor sau grupuri de utilizatori, precum și procese ale sistemului însuși Obiecte Obiectele din model sunt resurse (receptori de acțiune) Resursele includ fișiere, programe, mesaje, terminale, imprimante și structuri create de utilizatori sau de programele acestora înregistrările de audit Ele sunt formate în următorul format: Parametrii de intrare de audit: Subiect-subiect; Acțiune - acțiune realizată de subiect în raport cu obiectul (acțiunile pot fi: autentificare, deconectare, citire, executare, scriere etc ); Obiect - obiect; Condițiile de excepție sunt condiții speciale returnate de sistem ca răspuns la o acțiune (și aceste condiții nu sunt neapărat returnate utilizatorului); Resource-Usage - utilizarea resurselor (interval de timp, număr de înregistrări, număr de pagini tipărite etc ); Timpul este un marcaj de dată și oră Modelul descompune toată activitatea în cele mai simple acțiuni, astfel încât fiecare înregistrare de audit să corespundă unui singur obiect Luați în considerare un exemplu în care utilizatorul Smith copiază fișierul task txt din directorul său în directorul Lib unde nu are acces de scriere În acest caz, trebuie generate trei înregistrări de audit: Smith, executați, task txt, O, CPU= , Smith, citiți, task txt, , Records- , Smith, scrieți, task txt, încălcarea scrierii, înregistrările= , profiluri Profilurile sunt structuri care caracterizează comportamentul subiecților în raport cu obiectele în ceea ce privește metrica și tiparele activității observate Comportamentul observat este caracterizat în termeni de modele statistice și metrici Există trei tipuri de metrici în model: • contor de evenimente - caracterizează numărul de înregistrări de audit care satisfac proprietatea specificată și au avut loc într-o anumită perioadă de timp (de exemplu, numărul de logări la sistem într-o oră); • interval de timp - lungimea intervalului de timp dintre două evenimente înrudite; • Măsurarea resurselor - cantitatea de resursă consumată de o activitate într-o anumită perioadă de timp Valorile din model sunt considerate variabile aleatoare Modelul consideră o succesiune de n dimensiuni ale metricii x: X], x , xn Ca urmare a utilizării modelului statistic adecvat, se determină dacă o nouă observație a metricii xn + va fi "anormală" față de cele anterioare Luați în considerare modelele care sunt incluse în sistemul de detectare Un model funcțional bazat pe presupunerea că anomaliile pot fi determinate prin compararea valorii x observate cu constrângeri date Limitele sunt determinate din observațiile anterioare ale unei variabile de același tip (de exemplu, un contor pentru numărul de erori de introducere a parolei într-o anumită perioadă) Următoarele rapoarte sunt utilizate ca model al mediei și a abaterilor standard: \u d Xi * x * * xn ', S - X - - x ; m = s/n\ nume - șirul care conține p este asociat cu nume", p] ѵ p - pі sau p \ pi l p - pi și p ', Nu r - nu r Un exemplu de profil care arată măsurători ale numărului de ieșiri din terminalul utilizatorului Smith pe baza sesiunilor (cu numerotarea componentelor pentru ușurință de înțelegere) este dat în Tabel Profilurile pot fi definite pentru perechile subiect-obiect individuale și pentru grupuri agregate de subiecte și obiecte Astfel, modelul are în vedere posibile rețele: subiect - obiect, subiect - clasă de obiecte, clasă de subiecte - obiect, clasă de subiecte - clasă de obiecte, subiect (unul la toate obiectele), obiect (unul la toate subiectele), clasa de subiecte (la toate obiectele), o clasă de obiecte Modelul oferă un mecanism pentru generarea de profiluri pentru noi subiecte și obiecte Pentru aceasta pot fi utilizate următoarele metode: • crearea manuală a unui profil de către administratorul de sistem; Tabelul Exemplu de profil Nr componentă Profil Componentă Valoare componentă Nume variabilă SessionOutput model de acțiune "logout" Excepție 'SesșjonOutput=' # -" Sumă Valoare numerică asociată cu Sumă Nu este folosit ResourceByAct i vity Tip de variabilă Valoare prag Subiectul "Smith" * Orice obiect Înregistrarea Valoarea înregistrării • creați automat un profil atunci când câmpul Creare apare într-o înregistrare de audit pentru un subiect nou sau obiect nou; • crearea automată a unui profil dintr-un șablon atunci când utilizați un obiect nou pentru prima dată Șabloanele de profil au aceeași structură ca și profilurile în sine și sunt definite de șabloanele subiect și obiect Următoarele profiluri au fost utilizate pentru implementarea în IDES IDS: ) profiluri de activitate: • LoginFrequency', • Frecvența locației", • Ultima logare', • SessionElapsedTime', •SessionOutput', • SessionCPU, SessionIO, SessionPages', • PasswordFails', ) profiluri de execuție a comenzilor și programelor: • ExecutionFrequency', • ProgramCPU, ProgramlO; • Execuție refuzată", • ProgramResourceExhaustion', ) профили активности доступа к файлам: • ReadFrequency, WriteFrequency, CreateFrequency, De le teFrequency; • RecordsRead, RecordsWritterr, • ReadFails, WriteFails, DeleteFails, CreateFails', • Epuizarea resurselor fișierelor Înregistrări de anomalii Sistemul IDES modifică profilurile de activitate și controalele pentru comportamentul anormal atunci când este generată o intrare de audit sau la intervale specificate Dacă este detectat un comportament anormal, atunci este generată o înregistrare a anomaliilor, constând din trei componente: Această intrare indică evenimentul care a dus la anomalie și profilul de activitate în raport cu care a fost detectată anomalia (de fapt, IDES introduce un pointer către profilul corespunzător din baza de date în câmpul Profil) Reguli de activitate Acestea definesc acțiunile care trebuie întreprinse atunci când se generează o înregistrare a unui audit sau anomalie Regula este scrisă astfel: stare și corp În sistemul IDES se aplică patru reguli O regulă de înregistrare de audit care mapează o nouă înregistrare de audit cu un profil de activitate (sau modificarea profilului, înregistrarea anomaliilor) Exemplu Stare: înregistrare nouă de audit Înregistrarea de audit se potrivește cu Profil Variabila de profil-Tip = t Corp: AuditProcess(audit-Record, Profil); Sfârşit Regula de actualizare periodică a parametrilor de activitate, care este activată la sfârșitul intervalului specificat de perioadă (sau la schimbarea profilului, controlând comportamentul anormal) Exemplu Stare: Ceas mod p = O Profil Period = p Profil Variable-type - t Corp: PeriodProcess(Ceas, profil) ; Sfârşit O regulă de înregistrare a anomaliilor care este utilizată la generarea unei înregistrări a anomaliilor Exemplu Stare: nou Anomaly-Record Fișierul Anomaly-Record Pro se potrivește cu modelul profilului Anomaly-Record Event se potrivește cu modelul evenimentului Body: PrintAlert (ISuspect de intruziune de tip ', Anomalie-Înregistrare); Sfârşit Regula controlului periodic pentru anomalie, care este declanșată la sfârșitul unui interval de timp specificat (sau la generarea unui raport de sinteză pentru perioada curentă) Exemplu Stare: Ceas mod p = O Corp: Start = Ceas - p; A = SELECTARE FROM Anomaly-Records WHERE Anpmaly-Record Time-stamp > Start; Generați raportul rezumat al A End Articolul care descrie modelul D Denning nu a fost doar primul articol teoretic dedicat SOW, ci a dat și un impuls dezvoltării cercetării în acest domeniu Abordările prezentate în articol și metodele acestui model sunt folosite în diferite IDS-uri chiar și acum Model CIDF Modelul propus de CIDF (Common Intrusion Detection Framework, http://www gidos org/) are patru componente principale: • generator de evenimente (e-box, event) - colectează date pentru ca analizatorul să ia o decizie Datele pot conține numele parametrului controlat, caracteristicile și valorile acestuia Senzorul poate folosi o anumită transformare a datelor (de exemplu, pentru a converti într-un format dat, pentru a reduce cantitatea de date transmise); • analizor (a-box, analizor) - ia o decizie cu privire la prezența simptomelor de atac pe baza datelor de la senzori Analizorul poate îndeplini funcțiile de transformare a datelor, filtrare, normalizare și corelare Când este detectat un atac, o descriere semantică a atacului detectat poate fi adăugată la date pentru a genera o alarmă Poate exista o schemă stratificată în care analizatorii de la un nivel furnizează date către analizatorii de la un nivel superior; • stocarea datelor (d-box, baza de date) - necesar pentru luarea unei decizii și, poate, a datelor senzorilor În plus, stocarea conține parametri de control (liste de parametri controlați, frecvența controlului etc ) și descrieri semantice ale atacurilor Depozitul poate lua mai multe forme, de la un fișier de testare la o bază de date relațională; Platon Orez Schema de interacțiune a principalelor componente ale modelului CIDF • modul de răspuns al sistemului la un atac detectat (r-box, reacție) - cu o reacție pasivă, sistemul de detectare a intruziunilor anunță administratorul despre începutul unui atac, folosind un mesaj pe ecranul monitorului, trimițând un e-mail, un semnal către un pager sau un apel către un telefon mobil Răspunsurile active includ, de exemplu, încetarea procesului care a provocat atacul, deconectarea conexiunii la rețea sau degradarea activă a modului care a provocat alarma Schema de interacțiune a principalelor componente ale modelului CIDF este prezentată în fig Clasificarea sistemelor de detectare a intruziunilor Pentru a construi o taxonomie, este necesar să alegeți criteriile în funcție de care va fi efectuată clasificarea Să luăm în considerare o abordare în care funcțiile și caracteristicile tipice ale proiectării și implementării IDS sunt alese ca astfel de criterii (clasificarea sistemelor de detectare a intruziunilor este prezentată în Fig ) Aceste caracteristici includ următoarele: • abordarea descoperirii; • sistem protejat; • structura PSB; • sursa de date (pentru luarea deciziilor); • timpul de analiză; • natura reacţiei Abordarea descoperirii Există două abordări principale - detectarea semnăturii (detecția semnăturii, detectarea utilizării greșite), detectarea anomaliilor (detecția anomaliilor) - și o abordare hibridă Orez Clasificarea sistemelor de detectare a intruziunilor Sistemul protejat include IDS gazdă, rețea și hibrid La monitorizarea la nivel de gazdă pot fi considerate IDS următoarele subniveluri: sistem de operare, bază de date, aplicație IDS-urile de rețea colectează și analizează pachetele de rețea, pe baza cărora se efectuează detectarea Senzorii unor astfel de sisteme pot fi distribuiți între elementele rețelei Sistemele de detectare a intruziunilor în rețea sunt sisteme de detectare a intruziunilor IDS-urile gazdă analizează activitatea unui singur computer În acest caz, sistemul de detectare a intruziunilor este prevăzut cu un set mult mai mare de parametri pentru analiză În plus, datele sistemului de detectare a intruziunilor pot răspunde cu ușurință la un atac detectat IDS-urile gazdă ale substraturilor controlează evenimentele legate de aplicația respectivă, astfel încât IDS-urile gazdă sunt sisteme de detectare a intruziunilor IDS-urile gazdă pot analiza și pachetele care sosesc la o anumită gazdă IDS-urile gazdă care utilizează și analizează pachetele de rețea care ajung la o anumită gazdă sunt hibride, folosind ambele tehnologii în același timp Structura Conform structurii, IDS sunt împărțite în centralizate și descentralizate Multe dintre IDS-urile existente, atât gazdă, cât și rețea, au o arhitectură monolitică în care sunt implementate toate operațiunile sistemului: colectarea datelor, analiza și luarea deciziilor, inclusiv generarea de alarme Complexitatea atacurilor moderne care afectează diferite aspecte ale securității rețelei unei organizații, a dispozitivelor de rețea și a gazdelor acesteia, precum și costul relativ ridicat al sistemelor individuale de detectare a intruziunilor, au condus la necesitatea creării de sisteme de detectare distribuite În ultimii ani, a existat o cantitate semnificativă de cercetare și dezvoltare a sistemelor descentralizate de detectare a intruziunilor bazate pe tehnologia agentului mobil Sursă de date Principalele surse de date pentru IDS sunt pachetele de rețea și datele de audit Înregistrările de audit nu sunt doar înregistrări special organizate ale auditului în sine, ci și jurnalele de sistem care pot fi menținute, de exemplu, de sistemul de operare Astfel de jurnalele de sistem pot include fișiere de configurare a sistemului, date de autorizare a utilizatorului și așa mai departe Aceste informații formează baza pentru luarea deciziilor ulterioare Senzorul este integrat cu componenta responsabilă cu colectarea datelor - generatorul de evenimente (e-box) Prin urmare, modul în care sunt colectate informațiile este determinat de politica de generare a evenimentelor, care determină modurile de filtrare pentru vizualizarea evenimentelor Generatorul de evenimente (OS, rețea, aplicație) generează multe evenimente specifice politicii care pot fi scrise în jurnale (sistem și audit) sau determinate de pachetele de rețea În funcție de politică, datele pot fi stocate atât în interiorul sistemului protejat, cât și în afara acestuia În unele cazuri, este posibil ca datele să nu fie salvate, dar apoi fluxurile de date ale evenimentelor sunt transferate direct la analizor Acest lucru se aplică în special pachetelor de rețea Există probleme cu gestionarea pistelor de audit Salvarea rapoartelor de audit într-un singur fișier poate fi nesigură, deoarece un atacator îl poate folosi în avantajul său Este mai bine să aveți un anumit număr de copii distribuite în rețea, dar* acest lucru crește încărcarea rețelei și a sistemului Din punct de vedere funcțional, înregistrarea fiecărui eveniment înseamnă o creștere semnificativă a încărcării sistemului Comprimarea jurnalelor crește, de asemenea, încărcarea sistemului, eliberând spațiu pe disc Determinarea evenimentelor care trebuie incluse în audit este destul de dificilă, deoarece anumite tipuri de atacuri (intruziuni) pot rămâne nedetectate Este dificil de prezis volumul posibil al dosarelor de audit și de a determina perioadele de păstrare a acestora Sistemele de procesare a jurnalelor sunt vulnerabile la atacurile de tip denial of service timpul de analiză IDS poate funcționa continuu sau periodic primind informații pentru procesare (în timp real, pe intervale) Această separare definește aplicarea a două abordări diferite la descoperire, la care ne vom referi ca mod în timp real și mod întârziat Procesarea în timp real realizează verificarea continuă a evenimentelor de sistem pentru sistemele gazdă și analiza pachetelor de rețea pentru IDS-urile de rețea Datorită complexității de calcul în IDS-urile în rețea, algoritmii utilizați sunt limitați de viteza de execuție și de eficiența lor; prin urmare, sunt adesea folosiți cei mai simpli algoritmi Sistemele de detectare a intruziunilor trebuie să funcționeze numai în timp real, în timp ce sistemele de detectare a intruziunilor pot funcționa atât în modul real, cât și în modul întârziat Natura reacției Prin natura reacției, IDS pasiv (generează doar semnale de alarmă) și activ (realizează detectarea și implementarea unui răspuns la atacuri) se disting Ca reacție, de exemplu, încercările de a instala "patch-urile" corespunzătoare în software înainte de a pirata sau bloca serviciile atacate pot fi folosite De câțiva ani, problema activităților de atac activ este chiar discutată pe internet acţiune împotriva infractorului IDS-urile pasive pot alarma o consolă de administrator, pot emite un mesaj către un pager, pot trimite un mesaj de e-mail și chiar pot efectua un apel către un telefon mobil predeterminat Detectarea semnăturii În prezent, nu există o interpretare exactă a cuvântului "semnătură" De obicei, o semnătură este un set de criterii de biți utilizate ca șablon pentru detectarea atacurilor în trafic O serie de producători IDS folosesc termenul "filtru" ca regulă logică de detectare în combinație cu o acțiune intenționată În cele ce urmează, vom folosi termenul "semnătură" Prin semnătură înțelegem un set de condiții, la îndeplinirea cărora are loc un eveniment, definit ca un atac sau o intruziune (detecția semnăturii este de obicei asociată doar cu o potrivire cu un model) Următoarele abordări pot fi utilizate pentru a detecta semnăturile Potrivirea modelului - detectarea în acest caz se bazează pe o căutare a unei secvențe fixe de octeți în elementul de date în cauză (de exemplu, într-un singur pachet) De obicei, modelul se potrivește numai dacă pachetul suspectat este asociat cu un anumit serviciu (destinat unui anumit port) Există protocoale care nu au porturi specifice Exemplu de condiție de semnătură: un pachet IPv conține un protocol TCP și un port de destinație , iar sarcina utilă conține șirul foo, "generați o alarmă" Principalele avantaje și dezavantaje ale acestei abordări sunt prezentate în tabel Tabelul Avantajele și dezavantajele abordării de potrivire a modelelor Avantaje dezavantaje Ușurință în definirea regulilor de detectare Direct legat de vulnerabilitatea exploatată de acest atac Fiabilitate ridicată Aplicabil tuturor protocoalelor Poate duce la fals pozitive dacă modelul nu este unic Poate necesita modele multiple pentru o singură vulnerabilitate Abordare limitată asociată cu analizarea unui singur pachet Există opțiuni pentru a "ocoli" această metodă Starea modelului de potrivire - Setează starea fluxului de date câte un pachet Apariția unui alt pachet (sau pachete) care se potrivește cu datele de stare este considerată un atac Avantajele și dezavantajele acestei abordări sunt enumerate în tabel Analiza bazată pe modelul protocolului utilizat - decodificarea diferitelor elemente ale protocolului este utilizată pentru a forma starea La decodificarea protocolului, IDS aplică regulile definite de RFC pentru încălcări În unele cazuri, aceste încălcări pot fi în anumite domenii ale protocolului, ceea ce necesită o analiză mai detaliată Principalele avantaje și dezavantaje ale acestei abordări sunt prezentate în tabel Abordare euristică - Folosește reguli logice obținute euristic De exemplu, puteți utiliza un prag de porturi afectate de pe sistemul țintă pentru a detecta scanările de porturi În plus, semnătura poate fi limitată la setare Tabelul Avantajele și dezavantajele abordării de potrivire a modelelor de stat Avantaje dezavantaje Eficiență mai mare decât potrivirea modelului Direct legat de vulnerabilitatea exploatată de acest atac Fiabilitate ridicată Aplicabil la mai multe protocoale Face dificilă "ocolirea" sistemului de analiză Poate duce la fals pozitive dacă modelul nu este unic Atacul modificat poate duce la ratarea detectării Mai necesită mai multe modele pentru o vulnerabilitate Tabelul Avantajele și dezavantajele analizei bazate pe șablonul de protocol utilizat Avantaje dezavantaje Dacă protocolul este bine definit, erorile de intruziune sunt minimizate Direct legate de vulnerabilitatea exploatată de acest atac Metoda poate detecta variante de atac Robustă dacă sunt definite regulile de protocol Număr mare de lacune dacă RFC permite interpretări diferite Dificultate în generarea semnăturilor Tabelul Avantajele și dezavantajele abordării euristice Avantaje dezavantaje Semnăturile pot reflecta N'RUPĂRI complexe Posibilitatea de a detecta atacuri nedetectate prin metodele anterioare Dezvoltarea euristicii necesită mult timp și necesită abilități înalte Algoritmii euristici trebuie adaptați la traficul corespunzător numai anumite tipuri de pachete (de exemplu, pachete SYN) În tabel sunt prezentate principalele avantaje și dezavantaje ale acestei abordări Există diverse opțiuni pentru dezvoltarea semnăturilor care ȘI determină tehnologiile de detectare adecvate Să folosim vulnerabilitatea Microsoft RPC DCOM Buffer Overflow (Buletinul MS - ) pentru a le ilustra Acest buletin și corecția de securitate însoțitoare au fost lansate pentru prima dată de Microsoft pe iulie pentru a aborda o vulnerabilitate de securitate în interfața RDCOM (Distributed Component Object Model) RPC (Remote Procedure Caii) din Windows Această remediere încă închide în mod fiabil breșa de securitate Cu toate acestea, secțiunile Factori de atenuare și Soluții alternative din prima versiune a buletinului nu au enumerat toate porturile care ar putea prezenta un risc Prin urmare, Microsoft a lansat un buletin actualizat care listează porturile fice utilizate de serviciile RPC, astfel încât utilizatorii care aplică soluții înainte de a instala o remediere rapidă să aibă informațiile de care au nevoie pentru a-și proteja computerul Protocolul de rețea DCE/RPC, în special, definește apelurile către funcțiile de rețea furnizate de diverse interfețe Microsoft și transmiterea argumentelor adecvate acestor funcții Protocolul RPC este utilizat de sistemul de operare Windows Oferă comunicare între procese și permite programelor care rulează pe un computer să execute fără probleme codul pe un computer la distanță Se bazează pe un alt protocol - OSF (Open Software Foundation) RPC Protocolul RPC utilizat în Windows este o versiune extinsă a acestuia din urmă Una dintre aceste extensii, care este responsabilă pentru schimbul de mesaje prin TCP/IP, este o vulnerabilitate Procesarea mesajelor neformate poate duce la defecțiuni ale sistemului Această vulnerabilitate este legată de interfața DCOM, care ascultă pe porturile RPC Această interfață este Procesează cererile de activare pentru obiectele DCOM trimise de computerele client către server (de exemplu, solicitările de căi în convenția standard de denumire UNC) Un atacator care exploatează cu succes această vulnerabilitate ar putea rula propriul cod pe computerul unui utilizator sub contul Local Computer El va putea efectua orice acțiune asupra sistemului, inclusiv instalarea de programe, vizualizarea datelor, modificarea și ștergerea acestora, precum și crearea de noi conturi cu drepturi depline Pentru a exploata vulnerabilitatea, un atacator ar putea trimite o solicitare specială către portul RPC corect de pe computerul de la distanță Au fost identificate puncte slabe în porțiunea Serviciului de apel de procedură la distanță Windows (RPCSS) care se referă la instrucțiunile RPC pentru activarea DCOM Un utilizator rău intenționat care exploatează aceste slăbiciuni ar putea rula cod cu acces la sistemul local pe computerul afectat sau poate determina întreruperea serviciului RPCSS Acest utilizator rău intenționat poate efectua apoi orice acțiune pe computer, inclusiv instalarea de programe, vizualizarea, modificarea și ștergerea datelor sau crearea de noi conturi cu drepturi depline Pentru a exploata aceste vulnerabilități, un atacator ar putea crea un program executabil pentru a trimite mesajele RPC greșite, care ar fi direcționate către serviciul final RPCSS de pe serverul afectat Să luăm în considerare mai detaliat schema acestui atac Serverul RPC expune diverse interfețe, fiecare identificată printr-un IID unic de octeți Interfața ISystemActivator care avea vulnerabilitatea în cauză avea următorul IID: а - - -с - Fiecare interfață oferă o familie de funcții care sunt identificate prin valoarea identificatorului opnum Pentru această vulnerabilitate, valoarea opnum = în interfața apelată Combinația interfață/opnum solicitată de client permite diferite seturi de argumente pentru funcții Clientul stabilește mai întâi o conexiune TCP la portul /tcp (sau porturile , , /tcp, /udp) al serverului Figura arată cum un client atacă Microsoft RPC DCOM După ce se stabilește o conexiune, clientul trimite un BIND pentru a se atașa la interfața dorită Clientul trimite apoi o solicitare REQUEST pentru a apela funcția opnum specificată pe interfața selectată Conținutul cererii include date care sunt interpretate de server ca argumente pentru funcția apelată Unul dintre aceste argumente este numele fișierului, care este dat ca: \\server\nume fișier Mai mult, Windows se așteaptă Server Pachete de la client Orez Schema de atac asupra Microsoft RPC DCOM Nu, numele serverului nu va depăși de octeți Dacă un atacator trimite un nume lung, o vulnerabilitate în biblioteca de sistem subiacentă cauzează o depășire a memoriei tampon, permițând atacatorului să execute propriul cod inserat în numele lung Să ne uităm la diferite semnături pentru detectarea acestui atac Semnăturile de exploatare se bazează pe caracteristicile atacului care permit ca atacul să fie identificat în mod unic Pentru exemplul luat în considerare, parametrii de vulnerabilitate, de exemplu, vor fi: • interfața vulnerabilă ISystemActivator solicitată; • funcție vulnerabilă solicitată (opnum = ); • nume lung de fișier; • prezența în numele fișierului a comenzilor mașinii care implementează vulnerabilitatea Parametrul cheie, care este absent în timpul funcționării normale, este prezența în numele fișierului a comenzilor mașinii care implementează vulnerabilitatea Prin urmare, o semnătură de vulnerabilitate poate fi un șir care conține instrucțiuni de mașină pentru implementarea unui atac Această semnătură va funcționa numai atunci când se utilizează un exploit cunoscut Dacă atacatorul modifică comenzile mașinii, atunci semnătura nu va detecta atacul actualizat O altă modalitate de a ocoli această semnătură este fragmentarea pachetului care conține CERERE, astfel încât codul mașinii să fie conținut în diferite fragmente Semnăturile de vulnerabilitate se bazează pe caracteristicile unei anumite vulnerabilități, de ex setările sau acțiunile care trebuie întreprinse pentru a exploata vulnerabilitatea Pentru Pentru acest exemplu, să notăm principalele condiții care sunt necesare pentru succesul atacului: • stabilirea unei conexiuni la portul /tcp; • trimiterea BIND către o interfață vulnerabilă; • trimiterea CERERII cu opnum = ; • prezenţa parametrilor în lista de argumente; • prezența unui nume lung de server În acest caz, semnul distinctiv al vulnerabilității este numele lung al serverului Prin urmare, semnătura poate fi pentru a controla lungimea numelui serverului (nu mai mult de de octeți) Semnăturile anomaliilor de protocol sunt uneori denumite Detectare anomalii de protocol (PAD) Pentru a dezvolta astfel de semnături, este necesar să se analizeze implementarea protocolului luat în considerare pentru conformitatea cu RFC Nu toate protocoalele pot fi verificate în raport cu RFC, iar unele produse software permit trafic care încalcă specificațiile Pentru vulnerabilitatea luată în considerare, dezvoltarea unei semnături adecvate nu este posibilă din următoarele motive: • acest protocol nu are RFC; • textele sursă ale protocolului nu sunt disponibile; • nu există informații despre modul în care aplicația procesează datele de intrare Pentru a ilustra construirea unei semnături de anomalie de protocol, luați în considerare utilizarea IHL pentru atacuri în protocolul HTTP Pentru a face acest lucru, luați în considerare următoarele adrese URL: http://www Google celulă/căutare ?q=% +având+l % D - http:// /productcard/pc/Custvb asp?Email=% +havlng+l% D URL-urile date sunt similare (ambele nu încalcă RFC), dar prima solicitare este legală, iar a doua cerere folosește un atac SQL Injection semnăturile politicii Luați în considerare semnătura Snort (vezi Anexa) pentru vulnerabilitatea în cauză (pentru o citire ușoară, câmpurile individuale sunt situate pe linii diferite): alertează tcp $EXTERNAL NET orice -> $HOME NET (msg: "Încercare de legare la NETBIOS DCERPC ISystemActivator"; flux: către server, stabilit; continut: \"; distanta:O; in:l; continut:"\ \"; distanţă:!; în:!; byte test: , &, , ,relativ; conținut:"\A C \"; distanta: ; in: ; referinta:cve,CAN- - ; classtype:attempted-admin; sid: ;) Se poate observa că această semnătură este destinată pur și simplu să caute șiruri date într-un loc specific în sarcina utilă a pachetului TCP Prin urmare, atunci când funcția acestei interfețe este utilizată în mod legal, va fi generată o alarmă În plus, semnătura Snort de mai sus poate fi ocolită folosind următoarele caracteristici: în primul rând, prin utilizarea fragmentării pachetelor și în al doilea rând, prin utilizarea caracteristicii furnizate de protocol, care permite solicitarea mai multor interfețe Căutarea unor șiruri date cu semnătura Snort în anumite poziții va face ca atacul să fie ratat În acest caz, semnătura politicii poate fi decizia administratorului de a refuza conexiunile DCOM corespunzătoare până când vulnerabilitatea publicată este remediată de către dezvoltatorul produsului Detectarea anomaliilor Baza pentru detectarea anomaliilor (OD) este conceptul de comportament "normal" Apoi sistemul consideră orice abatere de la normalitate ca o anomalie Prin urmare, sistemele de detectare a anomaliilor pot diferi atât în funcție de abordarea utilizată pentru determinarea normalității, cât și în funcție de abordarea utilizată pentru determinarea abaterilor de la normalitate Detectarea anomaliilor implică de obicei procesul de stabilire a profilurilor de comportament normal al utilizatorului, compararea comportamentului real cu acele profiluri și semnalarea abaterilor de la comportamentul normal Ipoteza principală în detectarea anomaliilor este că modelele de comportament anormal sunt asociate cu abuzul sistemului Profilurile sunt definite ca seturi de metrici care sunt măsurători ale anumitor aspecte ale sistemului sau comportamentului utilizatorului Fiecare valoare are fie un prag, fie un interval de valori permise Detectarea anomaliilor se bazează pe presupunerea că utilizatorii efectuează acțiuni previzibile, secvențiale Această abordare permite adaptarea la schimbările în comportamentul utilizatorului în timp Completitudinea metodei de detectare a anomaliilor trebuie controlată (stabilită), deoarece nimeni nu știe dacă un anumit set de metrici este suficient pentru a reprezenta întregul set de posibil comportament anormal Prin urmare, sunt necesare studii suplimentare în fiecare caz Orez Arborele de decizie pentru utilizarea tehnologiilor de detectare a anomaliilor și a semnăturilor pentru a se asigura că detectarea anomaliilor va putea detecta "toate scenariile O caracteristică esențială a detectării anomaliilor este necesitatea stabilirii unui comportament "normal" Schema de luare a deciziilor la utilizarea tehnologiilor de detectare a anomaliilor și semnăturii este prezentată în fig Unele IDS moderne nu pot fi atribuite nici sistemelor de detectare a semnăturilor, nici sistemelor de detectare a anomaliilor Ei se bazează pe abordări noi (uneori numite alternative) pentru detecție Aceste abordări alternative includ: • metode de Data Mining; • metode de tehnologie a agentului mobil; • metode de construire a sistemului imunitar; • aplicarea algoritmilor genetici; • aplicarea rețelelor neuronale Să luăm în considerare exemple de utilizare a acestor abordări pentru a construi sisteme de detectare Metode de extragere a datelor Data Mining este tradus ca "exploatare" sau "excavare de date" Apariția acestui termen este asociată cu un nou pas în dezvoltarea mijloacelor și metodelor de prelucrare a datelor Tehnologia modernă Data Mining (exploatare de date determinată de descoperire) se bazează pe conceptul de tipare care reflectă fragmente de relații multidimensionale în date Aceste modele sunt modele inerente subeșantioanelor de date care pot fi exprimate concis într-o formă care poate fi citită de om G Piatetsky-Shapiro (unul dintre fondatorii acestei direcții) a definit tehnologia Data Mining ca un proces de descoperire a datelor brute (brute): • necunoscut anterior; • non-trivial; • util practic; • interpretări accesibile ale cunoştinţelor necesare luării deciziilor în diverse sfere ale activităţii umane Data Miningul este un domeniu multidisciplinar care a apărut și se dezvoltă pe baza realizărilor statisticii aplicate, recunoașterii modelelor, metodelor inteligenței artificiale, teoriei bazelor de date etc De aici și abundența de metode și algoritmi care sunt implementați în diverse sisteme de Data Mining existente Multe dintre aceste sisteme integrează mai multe abordări simultan Luați în considerare principalele clase de sisteme Data Mining Cea mai largă subclasă de sisteme analitice specifice domeniului care s-a răspândit în domeniul cercetării pieței financiare este "analiza tehnică", care este o combinație a mai multor metode de predicție a dinamicii prețurilor și de alegere a structurii optime a unui portofoliu de investiții pe baza diverselor elemente empirice modele de dinamică a pieţei Cele mai recente versiuni ale pachetelor software statistice includ, alături de metodele statistice tradiționale, elemente de Data Mining Rețelele neuronale sunt o clasă mare de sisteme a căror arhitectură are o analogie (destul de slabă) cu construcția țesutului nervos din neuroni Sistemele de raționament bazat pe caz (CBR), pentru a prezice viitorul sau pentru a alege soluția potrivită, caută analogi apropiați ai situației din trecut și alege răspunsul potrivit pentru ei Arborele de decizie creează o structură ierarhică de clasificare a regulilor dacă-atunci care arată ca un copac Luați în considerare programarea evolutivă Ipotezele despre tipul de dependență a variabilei țintă față de alte variabile sunt formulate sub formă de programe într-un limbaj de programare intern Procesul de construire a programelor este construit ca o evoluție în lumea software-ului Atunci când sistemul găsește un program care exprimă mai mult sau mai puțin satisfăcător dependența dorită, începe să-i facă mici modificări și selectează dintre programele descendente astfel construite pe cele care sporesc acuratețea Ca urmare a unei astfel de evoluții, sistemul primește mai multe linii genetice de programe care concurează între ele în exprimarea exactă a dependenței necesare O altă direcție a programării evolutive este legată de căutarea dependenței variabilelor țintă de restul în forma funcţiilor de un anumit tip De exemplu, în metoda contabilizării de grup a argumentelor, dependența este căutată sub formă de polinoame Deși algoritmii genetici sunt utilizați în principal ca un instrument puternic pentru rezolvarea diverselor probleme combinatorii și de optimizare, ei au fost incluși recent în setul de instrumente standard al metodelor de minare a datelor Algoritmi de enumerare limitată, propuși la mijlocul anilor ai secolului XX MM Bongard, calculați frecvența combinațiilor de evenimente logice simple în subgrupuri de date Pe baza analizei frecvențelor calculate, se face o concluzie despre utilitatea unei anumite combinații pentru stabilirea asocierilor în date, clasificare, prognoză etc Aceste metode au început recent să fie folosite pentru a rezolva problemele de detectare a atacurilor și intruziunilor Metode de tehnologie a agentului mobil Unele IDS folosesc colectarea distribuită de date (și anumite funcții de preprocesare) de la gazde controlate pentru a obține o imagine completă a poziției de securitate în rețelele unei organizații, dar lasă analiza și luarea deciziilor pe seama unui singur mecanism Această abordare a organizării descoperirii distribuite are dezavantajele sale: • analizor (dispozitiv de luare a deciziilor) - punct unic de defecțiune Dacă intrusul îl dezactivează sau îl ocolește, atunci sistemul de detectare nu își va îndeplini funcțiile; • scalabilitate limitată, deoarece prelucrarea datelor într-un singur punct limitează numărul de elemente controlate ale rețelei organizației; • Dificultăți în configurarea și reconfigurarea IDS-ului, în special la adăugarea de noi funcții la IDS; • posibilitatea de a înșela sistemul deoarece diferă de sistemul protejat Prin urmare, în ultimii ani s-au dezvoltat variante de colectare distribuită a datelor (senzori) și de analiză distribuită a datelor (luare a deciziilor) Una dintre tehnologiile care pot fi folosite pentru a construi IDS-uri distribuite este tehnologia agenților În literatura științifică și periodică se folosesc următorii termeni: agenți, agenți autonomi, agenți software, agenți mobili etc Un agent autonom (sau pur și simplu agent) este un agent software care îndeplinește anumite funcții de control al gazdei Sub autonomia agentului, ceea ce este important este că este un obiect executabil independent (execuția lui este controlată doar de sistemul de operare și nu de alte obiecte) Agenții pot primi date de la alte obiecte de sistem sau agenți, în plus, agenții pot primi anumite comenzi Deoarece agenții sunt obiecte executabile în mod independent, aceștia pot fi adăugați sau eliminați din sistem fără a notifica alte componente, adică fără a fi nevoie să reporniți IDS-ul Un agent poate face parte dintr-un grup de agenți care îndeplinesc diferite funcții și utilizează datele primite de alți agenți Prin urmare, utilizarea tehnologiei agentului pentru colectarea și analiza datelor are următoarele avantaje: • fiecare agent poate fi programat să primească date din propria sa sursă (înregistrări de audit, date de sondare a sistemului, captarea pachetelor de rețea etc ) Acest lucru permite partajarea parametrilor care sunt specifici atât pentru IDS-uri gazdă, cât și pentru rețea; • capacitatea de a porni și opri în mod independent funcționarea diferiților agenți vă permite să schimbați rapid conținutul (tipul) agenților și numărul acestora în timpul funcționării IDS; • Agenții pot fi programe scrise în diferite limbaje de programare (cele care sunt cele mai potrivite pentru sarcina rezolvată de agent) Utilizarea agenților autonomi pentru detectarea intruziunilor a stimulat dezvoltarea diferitelor prototipuri IDS folosind tehnologia agentului Ca exemplu, luați în considerare arhitectura sistemului AAFID (Autonomous Agent For Intrusion Detection) dezvoltat la Universitatea Purdue Principalele componente ale sistemului sunt: agenți, analizoare și monitoare Un exemplu de astfel de arhitectură pentru trei gazde este prezentat în Fig Un agent este un obiect executabil independent care monitorizează anumite aspecte ale gazdei și raportează anomaliile detectate sau comportamentul "interesant" analizorului corespunzător Fiecare gazdă a sistemului protejat poate conține un număr arbitrar de agenți care controlează evenimentele care au loc pe gazdă Toți agenții gazdă prezintă date la același parser Agentul nu poate genera o alarmă Analizorul este interfața de comunicare externă a fiecărei gazde Acesta controlează toate operațiunile agenților de pe gazda sa și poate opri agenți, porni agenți și le poate emite comenzi În plus, analizorul îndeplinește funcțiile de reducere a cantității de date furnizate de agenți Analizorul transmite rezultatele muncii sale către un monitor (unul sau mai multe) Poate fi distins Orez Exemplu de arhitectură AAFID pentru trei gazde două funcții principale ale analizorului: management (pornirea și oprirea execuției agentului pe gazdă, salvarea înregistrărilor activității agentului, răspunsul la comenzile primite de la monitor) și procesarea (primirea datelor generate de agenți, procesarea și analizarea celor primite) date, furnizând date monitorului) Monitorul este o componentă de nivel înalt a arhitecturii AAFID De asemenea, efectuează funcții de control (în modul de control, monitoarele pot primi comenzi de la alte monitoare și pot emite comenzi către monitoare și analizoare) și procesare (monitorul procesează datele primite de la analizoare, astfel încât să poată detecta intruziunile care nu au fost detectate de analizoare) În plus, monitoarele au capacitatea de a interacționa cu interfața administratorului, oferind administratorului acces la toate elementele sistemului Schema interacțiunii ierarhice a elementelor sistemului AAFID este prezentată în fig Astfel, arhitectura AAFID permite colectarea de date din mai multe surse distribuite în întregul sistem protejat și face posibilă combinarea avantajelor caracteristicilor de descoperire IDS a gazdei și a rețelei Modularitatea arhitecturii permite extinderea, configurarea și modificarea sistemului cu ușurință, ceea ce permite utilizarea următoarelor caracteristici (neimplementate în proiectul AAFID în sine): Interfață de administrare Orez Schema de interacțiune ierarhică a elementelor AAFID • formarea agenților folosind diverse metode de învățare automată; • evoluţia agenţilor în timp utilizând programarea genetică; • salvarea stării sesiunilor controlate între sesiuni, ceea ce va permite detectarea atacurilor prelungite în timp; • mobilitatea agenților, adică capacitatea de a le muta de la gazdă la gazdă atunci când se combină AAFID cu alte arhitecturi de agenți Unul dintre dezavantajele semnificative ale IDS-urilor distribuite considerate este vulnerabilitatea lor la atacuri împotriva sistemului de detectare în sine Componentele unui IDS distribuit se află într-o poziție statică și sunt conectate între ele printr-o structură ierarhică, care permite unui atacator să dezactiveze IDS-ul influențând unul dintre nivelurile superioare ale ierarhiei O opțiune pentru a contracara astfel de atacuri este abordarea agentului mobil Cu această abordare, doar frunzele arborelui ierarhic rămân nemișcate, iar nodurile interne ale arborelui sunt agenți mobili, deoarece nu au interacțiune directă cu sursele de date gazdă sau cu traficul de rețea Deoarece nodurile interne primesc date de la alte componente, le procesează și transmit rezultatele nodurilor din amonte, această procesare poate avea loc oriunde în rețea " Dacă aceste noduri se mișcă în jurul rețelei în mod aleatoriu, va fi dificil pentru un atacator să-și determine locația Dacă un atacator dezactivează o gazdă (prin folosirea, de exemplu, a refuzul serviciului), atunci agenții se pot muta într-o altă locație despre care "cred" că este sigură Dacă agenții sunt distruși, atunci există o oportunitate de a "învia" și de a le conecta la structura existentă a SOW IDS poate funcționa ca aplicații autonome, centralizate sau integrate care creează un sistem distribuit Acesta din urmă are o arhitectură proprietară cu agenți autonomi care pot efectua precalculări, implementa reacții și chiar străbate rețeaua Metode pentru construirea sistemului imunitar La construirea unor astfel de sisteme, se folosește o analogie între sistemele imunitare biologice și mecanismele de protecție ale sistemelor informatice Parametrul cheie pentru funcționarea cu succes a ambelor sisteme este capacitatea de a forma definiția "prietenului sau dușmanului", adică capacitatea sistemului imunitar al organismului de a determina care materiale sunt entități inofensive (materiale ale corpului însuși) și care sunt pericole patologice sau de altă natură Prin analogie cu organismele biologice, în care această capacitate se bazează pe fragmente scurte de proteine, cercetătorii s-au concentrat asupra unor atribute ale computerului care pot fi considerate analogi Un grup de cercetători a emis ipoteza că secvențele de apel de sistem Unix ar putea satisface aceste cerințe Pentru a implementa ideea, s-au limitat la secvențe scurte de apeluri de sistem (chiar fără a lua în considerare parametrii trecuți în apeluri) și succesiunea lor în timp La început, sistemul de cercetare construit pe acest principiu a fost menit să detecteze anomalii, deși putea detecta și abuzuri Construcția unui astfel de sistem se realizează în două faze În prima fază, se construiește o bază de cunoștințe, în care sunt plasate profiluri de comportament normal Se crede că caracteristicile comportamentului analizat nu sunt centrate pe utilizator, ci depind de activitatea proceselor Atunci abaterile caracteristicilor comportamentale de la aceste profiluri sunt considerate anomalii În a doua fază, profilele sunt utilizate pentru a controla comportamentul consistent al sistemului pentru anomalii Secvențele de apeluri de sistem rezultate din execuția proceselor privilegiate pe sistem sunt colectate cu tinand cont de timp Aceste profiluri conțin secvențe unice de lungime (această valoare a fost aleasă de cercetători pe baza experienței) Trei valori sunt utilizate pentru a caracteriza o abatere de la comportamentul normal: o exploatare cu succes a unei vulnerabilități, o exploatare nereușită a unei vulnerabilități și o stare eronată Rezultatele experimentelor au fost foarte încurajatoare, deoarece aceste trei valori de măsurare, concepute pentru a detecta anumite tipuri de comportament anormal, acoperă mai multe Unix-npo-grame problematice de lungă durată În plus, studiile au arătat că seturile de secvențe executabile sunt compacte Deși această abordare s-a dovedit a fi puternică, nu este o soluție completă la problema detectării intruziunilor Unele atacuri (inclusiv erori de sincronizare, masquerade și încălcări ale politicii de securitate) nu folosesc procese privilegiate Prin urmare, astfel de atacuri nu pot fi detectate folosind această abordare Aplicarea algoritmilor genetici L Algoritmii genetici sunt reprezentanți ai unei clase de algoritmi numite evolutive Algoritmii evolutivi se bazează pe conceptul de selecție naturală de Charles Darwin pentru rezolvarea optimă a problemelor Ideea unui algoritm genetic (GA) este împrumutată de la fauna sălbatică și se bazează pe principiile evoluției și selecției naturale Algoritmul genetic a fost dezvoltat de John Holland la Universitatea din Michigan în Goldberg a prezentat o serie de ipoteze și prevederi care ajută la o mai bună înțelegere a naturii GA În cazul general, GA utilizează abordarea observată în fauna sălbatică: selecția naturală, adaptabilitatea la condițiile de mediu în schimbare, moștenirea proprietăților vitale de la părinți de către descendenți etc Esența GA este următoarea O populație inițială este fixă - un set de seturi de soluții ale problemei care sunt suficient de departe de soluția exactă Pentru fiecare membru al populației se calculează valoarea funcției "potrivire" cu soluția O opțiune este o funcție de valoare medie a populației Dacă la pasul k al algoritmului există o populație G(k) formată din N rânduri Sk, atunci valoarea medie a populației poate fi determinată după cum urmează: FCP[G(*)J = l/N'ZFtSț), i = , , N Algoritmul genetic realizează tranziția de la populația G(k) la populația b(t + ) în așa fel încât prețul mediu numărul liniilor sale constitutive a crescut Putem considera cazul în care numărul de elemente (rânduri) din noua populație este N(k + ) = ĂJV(£), unde X este coeficientul de noutate al populației Dacă X ; pentru și set blah-c:\winnt\pystem C \> set extra=\cmd exe C:\> %blah%%extra% /c dir c: Exemplele date arată aceeași locație fizică a fișierului Codul / indică directorul curent, astfel încât orice număr dintre ele poate fi adăugat Codul /// este de obicei interpretat de aplicație ca o singură bară oblică, deoarece numele directorului nu poate fi NULL Anularea unei traversări este mai complicată, deoarece vă permite să vă deplasați prin arborele de directoare și, atunci când utilizați comanda / pentru a merge la directorul anterior, vă permite să reveniți la poziția de pornire Aceste metode pot face calea de intruziune suficient de lungă pentru a împiedica IDS să detecteze un atac Cazul în care puteți declara variabile sau puteți face comparații este mai grav Acest lucru este de obicei posibil pentru utilizatorii interni care au deja acces la sistem În acest caz, atacatorul poate modifica semnătura atacului folosind modificări subtile De exemplu, puteți ascunde codul rău intenționat într-o variabilă Aici, ghilimele distrug semnătura, dar atunci când aliasul este executat, ele sunt eliminate și fișierul cu parole este evidențiat Pentru a detecta astfel de atacuri, IDS-ul trebuie să interpreteze comenzile într-un mod similar cu un shell (se dau exemple pentru Unix și Windows) Comenzile interpretului sunt date în tabel Aceeași abordare poate fi utilizată dacă sistemul permite comparații Tot ce trebuie să facă atacatorul este să adauge o comparație care este întotdeauna adevărată (de exemplu, AND = ), care modifică semnătura și poate permite păcălirii OWL Această tehnică este adesea folosită în atacurile de inserare SQL În teorie, toate metodele de mai sus vor funcționa pentru aplicații bazate pe text, cum ar fi SNMP, SMTP, interogări SQL sau telnet Să ne uităm la metodele care funcționează numai cu solicitări HTTP, deoarece sunt concepute pentru a manipula paginile solicitate Luați în considerare o solicitare HTTP normală: GET /pages/index htm HTTP/ Nu ader: Această interogare are patru componente separate prin spații Componenta GET este o metodă care "spune" serverului că trimitem sau primim informații Componenta /pages/index htm este un URL (Uniform Resource Identifier) care spune Web-cep-faith ce dorim Componenta HTTP/ este numărul versiunii HTTP pe care îl folosim Totul după această componentă este informații suplimentare Tabelul arată cum un atacator poate folosi aceste componente Dacă introduceți un caracter nul în cerere după ce ați specificat metoda, ID-ul gazdei va vedea o solicitare GET goală, dar unele servere vor interpreta acest șir diferit O altă metodă este înlocuirea spațiului din fiecare parte a interogării cu o filă Majoritatea serverelor Web vor comprima spații și vor returna o valoare, dar IDS-urile gazdei de semnătură pot să nu recunoască delimitatorul (fila) și să nu genereze o alarmă Ascunderea unui parametru într-o interogare se bazează pe faptul că IDS-ul gazdei poate să nu poată monitoriza parametrii pentru a îmbunătăți performanța (IDS-urile gazdă adesea nu examinează ce urmează după semnul întrebării, ceea ce indică faptul că parametrii urmează) Deoarece parametrii vor fi diferiți pentru sisteme diferite, metoda semnăturii poate da o mulțime de fals pozitive În exemplul de mai sus, principalul este după semnul întrebării (% f este codul ASCII pentru ?, indicând începutul listei de parametri) și nu poate declanșa o alarmă Deturnarea aplicațiilor este suficient de complexă încât puține IDS-uri gazdă o pot detecta De obicei, IDS-urile de rețea nu se uită la nivelul aplicației pentru a vedea dacă o sesiune a fost continuată de o altă sursă Unele IDS-uri gazdă nu scanează stiva pentru a se asigura că sesiunea este continuată de aceeași origine Tabelul Interogați tehnici rău intenționate Exemplu de metodă Introduceți semnul nul GET% / yti pvt/administrators pwd Solicitare GET / vti pvt/administrators pwd formatată prost Ascunderea parametrului GET /index htm% fparam~/ / yti pvt/ administrators pwd Interceptarea aplicației se formează de obicei după cum urmează Utilizatorul începe o sesiune legitimă Atacatorul, după ce a determinat acest lucru, face imposibil ca mașina utilizatorului legitim să continue să funcționeze și își însușește atributele de autentificare Atunci când folosește un protocol fără stat (cum ar fi HTTP), atacatorul nu trebuie să restricționeze utilizatorul legitim, trebuie doar să fie capturat jetonul de sesiune Acest lucru poate fi realizat prin scripting încrucișat sau atacând mașina care conține jetoanele de sesiune (dacă mașina utilizatorului nu este suficient de sigură) O altă opțiune este metoda om-in-the-middle În acest caz, atacatorul se pretinde a fi un utilizator legitim pentru server și un server pentru utilizatorul legitim Atacatorul poate modifica apoi sesiunea pentru a nu fi detectat IDS-urile gazdă sunt concepute pentru a proteja sistemul de operare gazdă, nu aplicațiile sau interfețele de rețea și, prin urmare, este posibil să nu gestioneze corect aplicațiile IDS-urile de rețea pot detecta astfel de atacuri, dar cele mai multe dintre ele nu inspectează toate datele sesiunii, de exemplu, pentru a verifica dacă numerele de secvență sunt corecte Mijloace auxiliare de detectare Instrumentele auxiliare de detectare care nu se încadrează în această clasificare, dar sunt importante pentru detectare includ controale de integritate, celule de umplutură și gazde honeypot Controalele de integritate (de obicei pentru fișiere) calculează imagini ale fișierelor protejate și le stochează într-o anumită locație Valorile funcțiilor hash sunt de obicei folosite ca imagini Periodic, verificatorul de integritate evaluează imaginile și le compară cu cele stocate Dacă valorile imaginii nu se potrivesc, este generată o alarmă Sistemele înșelătoare sunt amplasate într-un loc special al rețelei protejate Când un IDS detectează un atac, traficul atacatorului este comutat la un sistem de momeală unde acesta poate face tot ce vrea Sistemul momeală funcționează într-un mediu simulat, astfel încât un atacator nu poate dăuna rețelei protejate De obicei, mediul simulat al unei rețele de momeală este plin de date interesante pentru a se asigura că atacatorul se asigură că atacul său decurge conform planului Sistemul înșelător Sam'a oferă capacitatea de a controla acțiunile intrusului Există diverse opțiuni pentru sistemele de înșelăciune, printre care ry este posibil să se aloce servere la nivel de utilizator În acest caz, gazda honeypot implementează servere la nivel de utilizator (fiecare server are un sistem de operare complet și rulează ca un proces de utilizator) Serverele sunt plasate în spațiul de aplicație al sistemului de operare gazdă, astfel încât fiecăruia dintre ele i se poate atribui propria sa adresă IP Acest sistem modelează o întreagă rețea locală, unde fiecare server la nivel de utilizator este reprezentat de o gazdă separată a acestei rețele (Fig ) Un honeypot în lumea computerelor de astăzi se referă la un sistem special conceput pentru a fi atacat Sarcina sa principală este să înregistreze și să controleze toate acțiunile infractorului Această idee a fost luată în considerare pentru prima dată în articolele lui CliffStoll, Steve Bellovin și Chezwick În aceste articole Orez Gazdă momeală cu servere la nivel de utilizator: - router; - gazda Honeynet; - server; - server de înregistrare a descris analiza acțiunilor crackerilor sistemelor informatice pe baza înregistrărilor detaliate ale acțiunilor lor Termenul "Honeypot" a apărut mai târziu, dar însemna același lucru: instalarea de sisteme care să pară atractive intrușilor din rețea și să poată monitoriza toate activitățile care au loc în sistemul compromis Analiza rezultatelor unei astfel de monitorizări vă va permite să aflați metodele, instrumentele și vulnerabilitățile folosite de crackeri În mod tradițional, un Honeypot este un sistem separat (un computer separat) conectat la o rețea externă (Internet) În prezent, există mai multe produse și instrumente care vă permit să vă creați propriul vas de miere, de exemplu: • Deception Toolkit (http://www all net/dtk/); • Cybercop Sting (http://www pgp com/products/cybercop-sting/); • Resource Mantrap (http://www resource com/products/mantrap/) Analiza acestor abordări și produse și nevoia asigurarea protecției utilizatorilor altor sisteme împotriva atacurilor Honeypot-urilor piratate l-a determinat pe L Spitzner să dezvolte și să creeze proiectul Honeynet Printre participanții la proiect se numără profesioniști cunoscuți în domeniul securității computerelor, printre care David Dietrich, Ed Skaudis, Martin Roche, Max Vision, Ofir Arkin, Stuart McClure și alții Honeynet este o rețea concepută special pentru hacking Înregistrează și controlează toate intrările și ieșirile Proiectul Honeynet găzduiește diverse sisteme de operare, diverse dispozitive de rețea și așa mai departe Toate sistemele din proiectul Honeynet sunt sisteme și aplicații standard reale Diagrama de rețea utilizată în experimentele proiectului Honeynet este prezentată în fig Scopul principal al creării unui Honeynet este de a colecta cât mai multe informații despre acțiunile unui atacator Analiza datelor primite ne permite nu numai să identificăm punctele slabe necunoscute în diverse sisteme reale, ci și să dezvoltăm recomandări pentru protejarea sistemelor similare Unul dintre avantajele Honeynet este că nu numai că ne introduce în comunitatea hackerilor, dar ne permite și să ne definim propriile capacități de securitate Honeynet este un mecanism de învățare pentru instrumentele, tacticile și motivele comunității cracking Acest sistem este unic prin faptul că nimic nu este imitat O rețea complet controlată este creată din mașini cu sistem de operare și aplicații care sunt identice cu cele utilizate de utilizatorii și organizațiile reali Odată ce sistemele au fost compromise, acestea au ajutat nu numai la înțelegerea acțiunilor crackerilor, ci și la identificarea riscurilor și a punctelor slabe care există în sistemele reale Orez Diagrama de rețea a proiectului Honeynet: - firewall; - router; - Scroafă; - Windows NT; - Linux; - concentrator; - Sparc; - Syslog; server de înregistrare Când operați un sistem Honeynet (precum și un Honeypot), trebuie luate în considerare următoarele considerații importante: • Sistemul trebuie să înregistreze date - remedierea tuturor acțiunilor care au loc în cadrul Honeynet, inclusiv la nivelul rețelei și sistemelor sale constitutive Sistemul de proiect Honeynet utilizează trei niveluri de înregistrare a datelor: jurnalele de sistem ale dispozitivelor de protecție (ME, PDS), jurnalele de rețea și înregistrările de audit ale sistemelor care fac parte din Honeynet; • Deoarece sistemul este hackabil, este necesar să se asigure o astfel de protecție a înregistrărilor pe care intrusul să nu le poată modifica sau distruge; • secretul operațiunilor de monitorizare și înregistrare - intrusul nu ar trebui să poată detecta că acțiunile sale sunt monitorizate și înregistrate Înregistrările actuale ale auditului sistemului trebuie păstrate ca de obicei; • Sistemele Honeynet au nevoie de administrare și monitorizare constantă pentru a minimiza riscul de deteriorare a altor utilizatori Un alt obiectiv al proiectului Honeynet este de a crește numărul de astfel de rețele și de a le implementa în întreaga lume În acest caz, devine posibilă compararea datelor colectate în diferite rețele, pentru a determina tendințele generale și pentru a prezice viitoare atacuri Testarea sistemelor de detectare a intruziunilor Problemele testării IDS nu sunt încă suficient de dezvoltate, nu există metode și tehnici general acceptate Acest lucru se datorează faptului că, pentru a efectua testarea IDS, pe lângă caracteristicile de testare care sunt legate de principiile de detecție, trebuie luate în considerare și alte caracteristici ale sistemului, de exemplu: • timp de detectare (timp real, nu timp real); • gradarea datelor primite (datele primite continuu, datele primite la intervale regulate); • surse de date (date de rețea, date de gazdă - pot include OS, programe de aplicație și înregistrări de audit ale echipamentelor de sistem); • răspuns la o intruziune detectată (pasiv - notificarea personalului, activ - modificarea setărilor de protecție a sistemului țintă sau atacarea unui atacator); • • arhitectura senzorilor de sistem (centralizati, distribuiti); • arhitectura sistemului de colectare a datelor (centralizat, distribuit); • securitatea proprie (capacitatea de a rezista unui atac împotriva IDS în sine); • gradul de compatibilitate cu alte IDS-uri sau alte sisteme de securitate În plus, metodele de testare ar trebui să fie determinate de scopul sistemului testat Prin urmare, putem vorbi despre două tipuri diferite de testare: testarea sistemelor comerciale (industriale) și testarea prototipurilor de cercetare Testarea sistemelor comerciale Diverse organizații care testează sisteme comerciale (produse) folosesc propriile abordări Ca exemplu, luați în considerare abordarea Denmac Systems, Inc Testarea include luarea în considerare a caracteristicilor cantitative și calitative ale unui produs Caracteristicile cantitative includ: • testare funcțională (scopul este obținerea caracteristicilor produsului, atacatorul se află într-o altă rețea); • testarea performanței (scopul este de a determina caracteristicile de performanță ale unității de procesare a pachetelor IDS atunci când atacatorul se află în aceeași rețea) Testarea funcțională include opt teste Capacitatea de a detecta mai multe atacuri - multe atacuri sunt clasificate în funcție de analiza necesară a diferitelor părți ale stivei TCP/IP La testare, sunt luate în considerare atacurile care sunt asociate cu proprietatea de analiză a antetului (se determină capacitatea IDS de a detecta atacurile asociate cu antetul datagramei IP, un exemplu tipic al unui astfel de atac este atacul Land), analiza proprietăților de reasamblare a pachetelor (determinând capacitatea IDS de a reasambla multe pachete fragmentate și de a detecta atacuri, care folosesc multe pachete, exemple de astfel de atacuri sunt TearDrop și Ping of Death), atacuri de analiză a datelor (abilitatea IDS de a detecta un atac conținut în sarcina utilă a unui pachet) este analizat, un exemplu de astfel de atac este atacul HTTP phf) Protecția IDS împotriva desincronizării IP - în acest caz, atacul este mascat prin folosirea de secvențe non-standard și de valori variabile Suprimarea alarmelor de atac repetitiv - evaluează capacitatea senzorului de a genera alarme și de a suprima generarea de alarme atunci când apar multe atacuri identice într-o anumită perioadă de timp Schimbabilitatea filtrelor - se evaluează posibilitatea adaptării filtrelor curente la nevoile utilizatorului și procedura de creare a unor filtre noi În același timp, se evaluează posibilitatea de modificare sau personalizare a filtrelor existente, posibilitatea de a crea filtre de căutare pentru un șir dat, posibilitatea de a crea un filtru complex care să folosească capacitățile scripturilor Generare alarmă - se evaluează capacitatea senzorilor de a genera și gestiona semnale de alarmă, se evaluează capacitatea de a semnala apariția unei alarme; capacitatea de a genera un semnal de alarmă către dispozitivul intern (pager, e-mail etc ) Înregistrare - Sunt evaluate proprietățile de înregistrare a sistemului: capacitatea de a salva rezultate în diferite formate, capacitatea de a configura înregistrările de jurnal pentru a include diverse variabile Raportare - se evaluează capacitatea de a genera rapoarte pentru diverse alarme: raportarea activității, capacitatea de adaptare la solicitări, capacitatea de a combina rapoarte pe variabile date, capacitatea de a crea și salva rapoarte (profiluri) personalizate Arhitectură distribuită - evaluează capacitatea de a forma o arhitectură distribuită necesară pentru rețelele corporative mari Evaluate: arhitectura (singura sau distribuita), capacitatea senzorilor multipli de a raporta la o consola centrala de management, capacitatea de a aplica un model ierarhic pentru senzori si console de management Testarea performanței a fost efectuată pe o rețea de Mbps cu următoarele caracteristici de trafic: • testele s-au format la o rată de pachete/s ( % din capacitatea canalului); • testele au fost generate la o rată de de pachete/s ( % din capacitatea canalului) Toate testele au folosit pachete de de octeți Atacurile au fost formate prin mijloace speciale și trimise cu viteze diferite: cu ritmul de formare a pachetelor, cu o rată de de pachete/s Următoarele teste sunt utilizate pentru a evalua performanța Viteza de procesare - evaluează capacitatea de a analiza pachete fără să lipsească pachete Evaluarea se realizează în absența atacurilor (senzorii nu conțin semnături de atac) Reasamblarea pachetelor - se evaluează performanțele de reasamblare a pachetelor (se folosește atacul Ping of Death, senzorii conțin semnătura acestuia) Eficiență de filtrare - evaluează eficiența filtrelor pentru detectarea atacurilor și generarea de alarme (se folosește atacul terestre) Caracteristicile calitative (evaluarea confortului) includ următoarele șase criterii Comoditatea interfeței - sunt evaluate confortul, completitudinea și extensibilitatea interfeței cu utilizatorul Sunt luate în considerare capacitatea de a suporta diverse sisteme de operare, ușurința în utilizare și stabilitatea Implementare sub formă de dispozitiv sau program - gradul de integrare în SO este evaluat din punct de vedere al ușurinței întreținerii și exploatării Produsele cu sistem de operare încorporat se clasează mai sus decât cele bazate pe sistemul de operare existent Maturitatea produsului - se evaluează următorii parametri: stabilitatea, implementarea, completitudinea și acuratețea implementării funcțiilor declarate, timpul de existență pe piață Conceptul de produs - se evaluează meritele și proprietățile unice ale produsului Experiența companiei - evaluează scopul companiei și contribuția acesteia la dezvoltarea tehnologiilor de securitate, în special în domeniul detectării intruziunilor Este evaluată participarea companiei la cercetarea și dezvoltarea de noi tehnologii sigure Prețul produsului - costul produsului și funcționarea acestuia sunt determinate și clasate Pentru a compara diferite IDS, fiecărui criteriu i se acordă un scor dintr-un interval de la la ( fiind cel mai mare scor) ca rezultat al analizei Pentru a compara criteriile legate de diferite clase de evaluare, sunt introduse ponderi ale conformității (sau importanței) indicatorului evaluat Greutățile sunt atribuite în intervalul de la la ( este cel mai important criteriu) Ca rezultat, scorul combinat al produsului este calculat conform următoarei formule: Evaluarea ponderată a produsului = , Xwi unde X; - evaluarea criteriului; w, este ponderea importanței criteriului În anul , produsele enumerate în Tabelul au fost evaluate conform acestei metode Valorile greutăților pentru criteriile de mai sus și estimările pentru aceste produse sunt date în tabel Platonov Tabelul Produse testate Denumire Nume produs Companie NFR NetworkFlight Recorder v NFR Security, Inc RS RealSecure v Internet Security Systems, Inc SW SessionWall v Computer Associates International, Inc NP NetProwler v Axent Communications, Inc NR NetRanger v Cisco Systems, Inc Tabelul Rezultatele testului Test Nr Criterii Greutate NFR RS SW NP NR Testare funcțională Detectarea atacurilor multiple Protecție de desincronizare IP a IDS N/A Suprimarea alarmei de atac repetitiv Schimbarea filtrelor Generarea alarmei Înregistrare Generarea raportului Arhitectură distribuită Test de performanta Viteza de procesare N/A Reasamblarea pachetelor 'n/a N/A Sfârșitul mesei Test Nr Criterii Greutate NFR RS SW NP NR Eficiență de filtrare N/A N/A Estimări ponderate, pentru două clase de criterii , , , , , Evaluare de confort Interfață ușor de utilizat Dispozitiv/software Maturitatea produsului Conceptul de produs Experiența companiei Prețul produsului Evaluare ponderată a produsului , , , , , Absența valorilor din tabel (parametrul N/A) indică imposibilitatea evaluării acestui criteriu sau imposibilitatea aplicării acestui test Cercetare testare prototip În , la instrucțiunile DARPA (Defence Advanced Research Project Agency), Laboratorul Lincoln al Institutului de Tehnologie din Massachusetts (MIT Lincoln Laboratory) a evaluat diverse IDS În timpul acestei evaluări, cercetătorii au folosit datele senzorilor sub formă de trafic de rețea înregistrat, înregistrări de audit Solaris BSM (înregistrările Windows NT au fost adăugate în ) și date de sănătate ale sistemului de fișiere pentru a identifica intruziunile care au fost efectuate în rețeaua de testare la momentul respectiv de colectare date Traficul de testare (date de antrenament) a constat dintr-un amestec de trafic de fundal real și simulat, iar atacurile au fost îndreptate către mașini reale din rețeaua de testare Datele de antrenament au conținut multe atacuri care au fost identificate în documentele însoțitoare O analiză a estimărilor obținute în a arătat multe deficiențe serioase în PSC-urile estimate Prin urmare, evaluarea s-a repetat în După aceea, s-a decis păstrarea datele de instruire și accesul liber la acestea de către cercetători În prezent, aceste date de antrenament sunt disponibile pentru toată lumea Acest lucru le permite cercetătorilor să evalueze practic cele mai importante caracteristici asociate detectării, și anume: probabilitatea erorilor fals pozitive (fals pozitiv) și erorile de salt (fals negative) Numărul total de tipuri de atac incluse în datele de testare din a fost de Aceste atacuri, din punctul de vedere al atacatorului, pot fi împărțite în patru categorii: • atacuri de denial of service (tip DoS, Denial of Service); • atacuri de tranziție de la utilizare la distanță la cea locală (tip R L, de la distanță la local); • Atacuri pentru obținerea drepturilor de superutilizator de către utilizatori (tip U R, User to Root); • atacuri de scanare sau sondare (tip PRB, Probing/surveillance) Jurnalele de instruire, care au fost actualizate și actualizate în , conțin jurnalele de audit reale și jurnalele de trafic de rețea în format tcpdump, care sunt șase săptămâni de date de antrenament și două săptămâni de date de testare Experiența pozitivă de a oferi informații pentru cercetători și dezvoltatori de sisteme de detectare a intruziunilor a continuat În prezent, există mai multe astfel de baze de date publice de înregistrări ale testelor Sisteme de prevenire a intruziunilor Conceptul acceptat în prezent de apărare în profunzime pentru rețelele corporative ca al doilea nivel prevede detectarea atacurilor în traficul permis de firewall (primul nivel) și protecția împotriva acestora Aceste funcții sunt atribuite sistemelor de detectare a intruziunilor, care, din mai multe motive, nu pot oferi un nivel de protecție suficient de ridicat IDS-urile moderne se caracterizează printr-un număr destul de mare de fals pozitive, ceea ce necesită o investiție semnificativă de timp și resurse pentru a analiza cauzele alarmelor, fiind destul de dificil de instalat, actualizat și operat Gestionarea IDS necesită administratori de sistem cu înaltă calificare Numărul de atacuri care vizează eludarea sau înșelarea IDS este în creștere Cele mai frecvente utilizări pentru aceasta sunt înlocuirea căilor, codificarea caracterelor și fragmentarea artificială În plus, au apărut atacuri polimorfe care pot păcăli majoritatea IDS În ultimii ani, numărul și dimensiunea corporațiilor au crescut semnificativ Dacă în urmă cu câțiva ani un sistem cu de senzori era considerat mare, astăzi multe corporații necesită instalarea a sute și chiar mii de senzori Prin urmare, IDS modern trebuie să țină cont de extinderea constantă a rețelelor corporative Se crede că utilizarea lățimii de bandă crește exponențial, corporațiile mari folosesc deja rețele gigabit Prin urmare, IDS trebuie să asigure funcționarea la sarcini de vârf a rețelelor obișnuite fără pierderea vreunei părți a traficului Faptul că IDS este un dispozitiv pasiv este călcâiul lui Ahile Prin urmare, este necesară o tranziție la funcțiile active În prezent, detectarea atacurilor este evaluată sub avertisment Mijloacele pasive sunt întotdeauna vulnerabile la diferite atacuri de evaziune (spoof) Prin urmare, cercetătorii și companiile producătoare au început dezvoltarea și producția de instrumente active, care sunt numite instrumente de prevenire a intruziunilor (IPS) Inițial, au fost folosite cele mai simple mecanisme care puteau folosi IDS pentru a opri un atac detectat: trimiterea unui pachet TCP Reset sau emiterea unui semnal către un dispozitiv activ (router sau firewall) pentru a bloca traficul corespunzător, dar complexitatea utilizării acestor metode a condus la necesitatea creării unui nou tip de dispozitive de protecție activă - sisteme active de prevenire a intruziunilor Trimiterea unui pachet de resetare TCP Când este detectat un atac, dispozitivul trimite un pachet TCP Reset în ambele direcții, care întrerupe conexiunea și împiedică dezvoltarea atacului (Fig ) Această abordare, în ciuda simplității sale aparente, are următoarele dezavantaje: • Această abordare este aplicabilă numai protocolului TCP sau protocoalelor de aplicație bazate pe TCP O modalitate de a depăși acest neajuns este trimiterea unui mesaj ICMP Host inaccesibil, care la rândul său cauzează probleme; • Când trimiteți o resetare TCP, trebuie specificat numărul de secvență al pachetului corespunzător Dacă acest lucru este ușor de făcut pentru un pachet destinat unei gazde protejate, atunci pentru a trimite un pachet către o gazdă atacatoare este necesar să găsiți numărul de secvență corespunzător (sau să stocați aceste numere în dispozitivul de descoperire); • există o întârziere de timp, care este suma timpului de procesare a pachetului primit, decizia privind prezența unui atac, formarea pachetului TCP Reset și timpul de transmitere a pachetului la destinație În acest timp, atacul poate fi implementat Orez Trimiterea unui pachet de resetare TCP: - atac; - router; - firewall; - sistem de prevenire a intruziunilor; - gazdă; - gazda atacata Emiterea unui semnal către dispozitivul de filtrare În acest caz, dispozitivul de detectare a atacurilor semnalează prezența unui atac către router sau ME astfel încât partea corespunzătoare a traficului să fie blocată prin introducerea unor reguli suplimentare de filtrare (Fig ) Implementarea acestei abordări este, de asemenea, asociată cu anumite dificultăți: • firewall-ul trebuie să poată primi semnalele corespunzătoare și să-și schimbe prompt regulile de filtrare în funcție de semnalul primit (o astfel de proprietate are, de exemplu, Check Point FireWall- ); • Firewall-ul trebuie să "știe" ce parte din trafic trebuie blocată Acest lucru se face prin blocarea adresei IP corespunzătoare, care (în cazul unei adrese surse falsificate) poate duce la o refuz de serviciu; • intervalul de timp de la primirea unui pachet de atac până la blocarea traficului corespunzător, care poate fi suficient pentru ca atacul să aibă succes Sisteme active de prevenire a intruziunilor Aceste sisteme pot șterge un pachet dacă îl consideră a fi sursa unui atac (Figura ) În plus, trebuie să ofere un număr minim de alarme false, deoarece vor bloca traficul considerat rău intenționat Prin urmare, astfel de sisteme ar trebui să se bazeze pe tehnologii care oferă o precizie ridicată în detectarea atacurilor Orez Emiterea unui semnal către dispozitivul de filtrare: - atac; - router; - firewall; - sistem de prevenire a intruziunilor; - gazdă; - gazda atacata Alerta Administrator de sistem Orez Sistem activ de prevenire a intruziunilor: - atac; - router; - firewall; - sistem de prevenire a intruziunilor; - gazdă; - gazda atacata Unul dintre cei mai importanți indicatori pentru astfel de sisteme este performanța Sistemele de prevenire a intruziunilor trebuie să funcționeze la o rată care să nu degradeze lățimea de bandă disponibilă Acest lucru duce la faptul că IDS-urile moderne sunt construite folosind circuite integrate specifice aplicației (Application Specific Integrated Circuits, ASIC) și logica programabilă (Field-Programmable Gate Array, FPGA) Termenul "prevenirea intruziunilor" poate fi privit ca un concept larg care cuprinde multe caracteristici care există deja în dispozitivele de securitate, cum ar fi protecția antivirus, firewall-urile și sistemele de detectare a intruziunilor Produsele majore de detectare a intruziunilor folosesc de obicei tehnologia de detectare a semnăturilor Ca exemplu, luați în considerare abordările utilizate în sistemul Attack Mitigator IPS de la Top Layer Networks, Inc (http://www TopLayer com/) Acest sistem folosește dispozitive ASIC pentru a oferi viteză mare de procesare Sistemul în sine este o arhitectură cu mai multe niveluri, la fiecare nivel se ia decizia de a atribui partea analizată a traficului uneia dintre cele trei stări: "bun" - traficul este transferat la ultimul nivel; "răușitor" - traficul este eliminat și "suspect" - traficul este transferat pentru procesare la nivelul următor Arhitectura include următoarele cinci niveluri: ) analiza traficului la nivelul fiecărei sesiuni - pentru fiecare sesiune se creează intrări în tabelele de sesiuni Controlul sesiunii vă permite să detectați atacuri cu un singur pachet și atacuri de fragmentare; ) blocarea atacurilor de denial of service și a atacurilor distribuite denial of service (DDoS) Pentru aceasta, RAM este utilizată pentru de adrese IP ale conexiunilor curente (pentru a determina, de exemplu, finalizarea stabilirii unei conexiuni TCP); ) protecție împotriva viermilor și a aplicațiilor Web care rulează pe portul Pentru a proteja împotriva viermilor, algoritmi speciali de analiză a stării sunt utilizați pentru a identifica variantele exploit-urilor existente Pentru a proteja protocolul HTTP, este utilizat un mecanism de normalizare a protocolului, care, în special, decodifică URI (Uniform Resource Identifier) pentru a detecta posibile atacuri; ) detectarea anomaliilor de protocol și a anomaliilor de trafic pe baza unor praguri predeterminate Pragurile sunt stabilite de administratorul de sistem sau automat în timpul funcționării normale a sistemului În plus, la acest nivel, puteți determina numărul de sesiuni posibile pe jumătate deschise, cum ar fi, de exemplu, conexiuni TCP; ) procesarea întregului trafic suspect care nu a trecut de straturile anterioare La acest nivel, strategia de răspuns a sistemului este determinată în funcție de politica de securitate stabilită a organizației Această abordare este susținută într-o oarecare măsură de alți producători de sisteme de prevenire a intruziunilor O caracteristică suplimentară a unor astfel de sisteme poate fi utilizarea corelației între evenimentele detectate la diferite niveluri Întrebări de control Enumerați principalele motive pentru care firewall-urile singure nu pot oferi o protecție adecvată Enumerați principalele probleme în formarea semnăturilor de atac Definiți conceptele de "atac" și "invazie" Ce caracterizează profilele din modelul lui D Denning? Care este principala diferență dintre profile și șabloanele de profil în modelul D Denning? Ce se înțelege prin anomalie în modelul lui D Denning? Explicați existența relațiilor bidirecționale în modelul CIDF Ce este inclus în conceptul de "semnături SWL"? Ce fel de semnături pot fi folosite? Enumerați sarcinile efectuate de sistemele de detectare a anomaliilor de protocol Ce abordări pot fi folosite pentru a determina "normalitatea" comportamentului? Definiți conceptul de data mining Prezentați principalele avantaje ale utilizării tehnologiei agentului pentru detectarea intruziunilor De ce sunt utilizate valori mici ale probabilității de mutație în implementarea algoritmilor genetici? Ce abordări sunt folosite pentru a găsi maximele locale prin algoritmi genetici? Să presupunem că IDS implementează modelul CIDF folosind aparatul rețelelor neuronale Ce relații din modelul CIDF trebuie schimbate? Ce determină alegerea dimensiunii pentru stratul de intrare al unei rețele neuronale? Enumeraţi principalele metode de ocolire a sistemelor de detectare a intruziunilor Care este scopul principal al Honeypot și Honeynet? Ce este desincronizarea IDS? Precizați motivele apariției falselor pozitive și săriți erorile pentru diverse tehnologii de detectare: detectarea semnăturii și detectarea anomaliilor Precizați diferența fundamentală dintre sistemele de prevenire a intruziunilor și sistemele de detectare a intruziunilor CAPITOLUL REȚELE PRIVATE VIRTUALE De-a lungul anilor, am devenit mai cinic și le spun viitorilor clienți că atunci când vine vorba de securitate, matematica este impecabilă, computerele sunt vulnerabile, rețelele sunt în general proaste și oamenii sunt doar dezgustători B Schneier Secrete și minciuni Rețelele private virtuale sau rețelele virtuale securizate (Virtual Private Network, VPN) sunt o conexiune stabilită pe o infrastructură publică existentă și care utilizează criptarea și autentificarea pentru a se asigura că conținutul pachetelor transmise este securizat Un VPN creează un segment virtual între oricare două puncte de acces la rețea Poate traversa infrastructura publică a unei rețele locale, a unei conexiuni Wide Area Network (WAN) sau a internetului Să luăm în considerare VPN-urile care organizează canale securizate de transmisie a datelor folosind o infrastructură publică sau Internet Toate configurațiile VPN pot fi împărțite în trei tipuri principale: ) gazdă la gazdă (gazdă la gazdă); ) gazdă-la-gateway; ) gateway-gateway (gateway-to-gateway) Pentru a organiza un canal de comunicare care trece prin Internet, puteți utiliza orice tip de VPN Conceptul principal de VPN este protejarea canalului de comunicație prin criptare la diferite niveluri ale modelului TCP/IP și anume: • aplicat (nivelul ); • transport (nivel ); • reţea (nivel ); • canal (nivelul ) Dispunerea protocoalelor VPN pe niveluri de model este prezentată în fig La nivel de aplicație, criptarea poate fi aplicată prin programe precum Pretty Good Privacy (PGP) sau prin canale precum Secure Shell (SSH) Asemenea programe funcționează Niveluri TCP/IP Protocoale de bază (Aplicație) PGP, S/MIME SSH, Kerberos, RADIUS Transport SSL, TSL SOCKS v Rețea (interconectare) IPSec (AH, ESP) Canal (link de date) L TP, PPTP, L A CHAP, PAP, MS-CHAP Orez Dispunerea protocoalelor VPN în funcție de stratul de model se topește de la nod la nod, ceea ce înseamnă că acestea oferă protecție numai pentru conținutul (sarcina utilă) pachetului, și nu întregul pachet în ansamblu Excepția este protocolul SSH, care poate folosi redirecționarea portului pentru a crea un tunel La nivelul de transport, protocoale similare cu Secure Sockets Layer (SSL) pot fi utilizate pentru a securiza conținutul pachetelor unei anumite sesiuni între două părți De obicei, această metodă este utilizată pentru conexiunile stabilite printr-un browser Web În același timp, este protejat doar conținutul pachetelor transmise, iar datagramele IP care poartă aceste informații sunt disponibile pentru vizualizare La nivelul rețelei, protocoalele precum IPSec nu numai că criptează conținutul pachetului (sarcina utilă), ci și criptează informațiile antetului protocolului TCP/IP La nivelul de legătură de date, Layer Tunneling Protocol (L TP) este o extensie a protocolului punct la punct (PPP) care permite criptarea pachetelor trimise prin protocolul PPP la nivelul de transmisie a legăturii de date Deși aceste tehnologii de criptare sunt aplicate la diferite niveluri, toate pot face parte dintr-un VPN Trebuie remarcat faptul că unele dintre aceste tehnologii nu pot gestiona toate comportamentele VPN fără asistență suplimentară din partea altor aplicații sau protocoale tunelare Tunnelarea este procesul de încapsulare a unui tip de pachet în altul pentru a obține un anumit avantaj stva în timpul transportului Însăși ideologia construirii unei stive TCP/IP arată un exemplu de tunel De exemplu, tunelul poate fi folosit pentru a trimite trafic printr-un mediu de rețea direcționat sau pentru a aplica criptarea pachetelor IP securizate Ca exemplu, luați în considerare un VPN gateway-to-gateway (Figura ) În acest exemplu, firewall-ul criptează toate pachetele destinate rețelei de la distanță și adaugă noi anteturi IP cu propria sa adresă IP ca sursă și adresa firewall-ului de la distanță ca adresă IP de destinație În acest caz, criptarea ascunde informațiile reale conținute în pachetul IP original Când un firewall de la distanță primește un pachet, îl decriptează și îl transmite la nodul de rețea pentru care a fost destinat Segmentul de rețea virtuală creat între două puncte terminale gateway se numește tunel (deoarece punctele finale LAN la distanță "habar" au ce se întâmplă cu pachetele lor în timpul livrării) Următoarea este o intrare tcpdump a unui pachet care nu trece printr-un tunel criptat: : : > : AH %spi= , seq= x ): > : P : ( ) asc %win (DF) De fapt, această intrare este un pachet de protocol IPSec care utilizează protocolul Authentication Header (AH) Acest pachet este trimis într-un mod care nu necesită Orez Un exemplu de construire a unui VPN gateway-to-gateway: - server; - concentrator; - post de lucru; - firewall tunelarea curentă Pachetul trece de la un nod de rețea la altul fără a fi tradus de dispozitivele gateway În acest exemplu, adresele IP corespund adreselor unor gazde specifice, în plus, sunt disponibile informații despre stratul de transport (pachetul este o tranzacție cu protocol HTTP); valorile steagului indică faptul că acesta este de fapt sfârșitul stabilirii unei conexiuni de strângere de mână Următoarea este ieșirea tcpdump corespunzătoare pachetului încapsulat (aceeași tranzacție, dar tradusă prin tunel VPN gateway-to-gateway): : : > : ESP (spi= , seq= x ) (DF) În acest caz, sunt vizibile doar adresele IP ale gateway-urilor și că protocolul ESP (Encapsulating Security Payload) este aplicat Principalul beneficiu al utilizării unui VPN pentru acces la distanță este combinația dintre rentabilitatea posibilei utilizări a unui mediu de rețea publică pentru transportul informațiilor private și un nivel ridicat de securitate O rețea virtuală sigură poate oferi mai multe niveluri de securitate, inclusiv îmbunătățiri ale confidențialității, integrității și autentificării Deoarece VPN utilizează infrastructura de rețea existentă, poate fi implementat destul de rapid, deoarece nu este nevoie să se instaleze noi linii de comunicație (dedicate) Combinația de securitate, configurare rapidă și rentabilitate poate face din VPN o soluție excelentă de comunicații comerciale Cu toate aspectele pozitive ale acestora, VPN-urile nu sunt lipsite de dezavantaje Dintre acestea, trebuie remarcate următoarele: • Overhead de procesare a datelor - VPN-ul se bazează pe utilizarea criptării, care necesită un număr mare de operațiuni Acest lucru afectează nu numai dispozitivele gateway, ci și debitul general al conexiunii VPN; • supraîncărcarea pachetelor cauzată de adăugarea antetelor la fiecare pachet, care la rândul său poate cauza fragmentarea pachetului; • Probleme de implementare legate de utilizarea Network Address Translation (NAT) pentru VPN, dimensiunea Maximum Transmission Unit (MTU) etc ; • probleme de management și căutare a conflictelor, deoarece părțile interne ale structurii și conținutului pachetelor încapsulate nu sunt disponibile până când nu sunt decriptate; • probleme cu funcționarea sistemelor de detectare a intruziunilor în rețea (închiderea conținutului pachetelor); • Probleme de internet, defecțiuni ale conexiunii ISP sau atacuri de denial of service împotriva gateway-ului VPN Protocoale VPN din stratul de legătură La nivelul de legătură de date, există două protocoale pentru implementarea VPN: Protocolul de tunel punct la punct (PPTP) și Protocolul de tunel de la Layer Two (L TP) Ambele protocoale sunt incluse în sistemul de operare Microsoft Windows Protocolul RRTR Protocolul PPTP este o dezvoltare ulterioară a protocolului PPP, care s-a răspândit în legătură cu apariția accesului prin modem la Internet Protocolul PPTP a fost dezvoltat de un consorțiu de furnizori precum Microsoft, US Robotics, Ascend și com Pentru a cripta protocolul PPP, a fost folosit protocolul de criptare punct la punct al Microsoft (Microsoft Point-to-Point Encryption, MPPE), care folosește algoritmul RC Cu toate acestea, majoritatea problemelor de securitate au fost legate de lipsa de încredere a metodei de autentificare utilizată, protocolul de autentificare Microsoft Challenge/Reply HandShake Protocol (MSCHAP) MSCHAP versiunea a fost lansată pentru a remedia deficiențele PPTP utilizează toate protocoalele conexe, cum ar fi MSCHAP, Protocolul de autentificare cu parolă (PAP), Protocolul de autentificare prin strângere de mână Challenge (CHAP), autentificarea (Protocolul de autentificare extensibil, EAP) Protocolul PPTP utilizează două canale care lucrează împreună Primul este canalul de control (port /tcp) Acest canal trimite înainte și înapoi toate comenzile care controlează sesiunea de conectare Al doilea este o legătură de date încapsulată, care este o variantă a protocolului Generic Routing Encapsulation (GRE) pentru rutare Este protocolul care folosește UDP ca protocol de transport Avantajul tunelului Common Encapsulation Protocol pentru rutare este că poate încapsula și transporta protocoale altele decât protocolul IP Protocolul PPTP funcționează fără interferențe prin dispozitivele NAT Se integrează cu multe dispozitive hardware Protocolul PPTP utilizează protocolul PPP la inițializarea comunicării, conform acest lucru poate fi vulnerabil la falsificare și atacuri de tip man-in-the-middle Protocolul L TP Protocolul L TP este definit în RFC și este de fapt un hibrid al celor două protocoale de tunel anterioare: Cisco's Layer Two Forwarding (L F) și PPTP Acesta a înlocuit protocolul PPTP ca soluție VPN în sistemul de operare Windows Protocolul L TP, ca și protocolul PPTP, utilizează capacitățile protocolului PPP (MSCHAP, CHAP, EAP, PAP etc ) pentru autentificarea utilizatorului Similar protocolului PPTP, protocolul L TP utilizează două canale de comunicare: mesaje de control și mesaje tunel pentru transferul de date Primul bit din antetul protocolului PPTP este utilizat pentru a identifica aceste tipuri de mesaje ( pentru mesaje de control, pentru mesaje de date) Mesajele de control au prioritate față de mesajele de date pentru a se asigura că informațiile importante de administrare a sesiunii sunt transmise cât mai repede posibil O conexiune de canal de control este stabilită pentru tunel, care este apoi urmată de o inițiere a sesiunii L TP După ce inițierea ambelor conexiuni este finalizată, informațiile sub formă de cadre de protocol PPP încep să fie transmise prin tunel Formarea unui canal securizat are loc în trei etape: ) stabilirea unei conexiuni între client și serverul de acces la distanță; ) autentificarea utilizatorului; ) configurarea unui tunel securizat Pentru a stabili o conexiune cu un server de acces la distanță (server de rețea L TP), un utilizator de la distanță comunică prin protocolul PPP cu un concentrator de acces L TP, care operează de obicei pe serverul furnizorului Concentratorul de acces poate autentifica utilizatorul în numele furnizorului Pe baza numelui destinatarului dat, concentratorul de acces determină adresa serverului de rețea L TP care protejează rețeaua cu adresa dată Se stabilește o conexiune între concentratorul de acces și serverul L TP Apoi, utilizatorul este autentificat de serverul L TP În cazul autentificării cu succes, se stabilește un tunel securizat între concentratorul de acces și serverul L TP Mesajele de control sunt folosite pentru a configura parametrii tunelului și pot exista mai multe sesiuni de utilizator într-un singur tunel Cu IPSec, pachetele L TP sunt încapsulate în pachete UDP, care sunt trimise de către concentratorul de acces și serverul L TP prin tunelul IPSec (portul /tcp) Protocolul IPSec În ciuda faptului că protocolul IP a devenit cel mai utilizat protocol de comunicare la nivel mondial și tehnologia de bază a Internetului, acesta are multe dezavantaje semnificative Printre acestea, este necesar de remarcat spațiul limitat de adrese, lipsa configurației automate a nodurilor de rețea și deficiențele securității interne Motivul principal pentru aceste deficiențe este că protocolul IP nu a fost inițial destinat utilizării în masă Ca o dezvoltare a protocolului IP, a fost dezvoltată noua sa versiune IPvb (protocol IP versiunea ), care a încercat să rezolve problemele versiunilor anterioare Întrucât este dificil să se adopte o nouă versiune a protocolului IP, din cauza creșterii constante a Internetului și a varietății uriașe de hardware și software instalat, măsurile de securitate incluse în IPv au fost transferate la versiunea actuală a IPv ca un adițional set de protocoale Acest set de protocoale se numește IPSec Protocol Suite O conexiune IPSec are două moduri principale: transport (transport) și tunel (tunel) Modul de transport este o formă de comunicare de la nod la nod în care numai conținutul pachetului este criptat Datorită naturii punct la punct a conexiunii, software-ul corespunzător trebuie descărcat (instalat) pe toate nodurile comunicante ale rețelei, ceea ce este o problemă destul de serioasă Acest mod VPN este util pentru comunicațiile criptate între gazde din aceeași rețea Modul de tunel este utilizat la crearea majorității VPN-urilor, deoarece criptează întregul pachet original Modul de tunel poate fi utilizat pentru a stabili o conexiune nod la nod, nod la gateway sau gateway-la-gateway Atunci când se organizează o conexiune gateway-to-gateway, comunicarea între rețele este mult simplificată și nu este necesar să fie instalat un software special pe nodurile rețelei Primul scop al familiei de protocoale IPSec este de a oferi confidențialitate, integritate și autentificare informațiilor transmise prin protocolul IP Acest lucru se realizează folosind protocolul Internet Key Exchange (Internet Key Exchange, IKE), protocolul ESP și protocolul AH Combinația acestor trei protocoale asigură schimbul securizat de informații Al doilea scop al familiei de protocoale IPSec este de a oferi dezvoltatorilor de software un set de standarde Stabilirea unei conexiuni sigure începe cu formarea unei Asociații de Securitate (SA) între două părți care comunică Asociația de Asigurare a Securității Baza unei asociații de securitate este un acord între două părți cu privire la modul în care își pot partaja informațiile în siguranță În timpul procesului de acord, părțile negociază detaliile unui schimb securizat Rezultatul unui astfel de acord este asociația de securitate Fiecare sesiune este asociată cu două asociații, câte una pentru fiecare partener de comunicare Caracteristicile pozitive ale protocolului IPSec sunt deschiderea standardului său pentru a suporta o varietate de protocoale și moduri de comunicare, precum și suport pentru diverși algoritmi de criptare și diferite funcții hash Înainte de a negocia o asociere de securitate, este necesară configurarea locală a elementelor de protocol IPSec pe care un anumit partener urmează să le suporte Aceste setări sunt stocate în baza de date pentru politici de securitate (SPD) Odată negociată, asocierea de securitate este menținută în baza de date a asociației de securitate (SAD) Acest lucru este necesar deoarece o gazdă poate iniția mai multe sesiuni, fiecare dintre ele putând avea propriul SA Deoarece există mai multe sesiuni IPSec disponibile pentru fiecare dispozitiv de rețea, procesul necesită ca fiecare sesiune de negociere SA să aibă propriul său identificator unic pentru ca procesul să funcționeze corect Acest identificator este alcătuit dintr-un index unic de parametri de securitate (SPI) care determină ce înregistrare a bazei de date SA corespunde conexiunii în cauză În plus, sunt luate în considerare adresa de destinație și identificatorul protocolului utilizat (ESP sau AH) Iată un exemplu de exemplu din baza de date Cisco Router Security Association folosind protocolul ESP: inbound esp sas: spi: x BB D ( ) transform: esp-des esp-md -hmac, in use settings={ Tunnel,} slot: , conn id: , flow id: , crypto tara: mod sa timp: durata de viață rămasă a cheii (k/sec) : ( / ) Mărimea IV: octeți Suport de detectare a reluării: Y Acest eșantion conține o mulțime de date despre o anumită conexiune, de exemplu, numărul SPI al conexiunii, algoritmi de criptare valoarea hash utilizată pentru această conexiune, faptul că această conexiune rulează în modul tunel și cât timp a fost activă conexiunea Aceste informații sunt conținute în baza de date Asociația de Securitate pentru fiecare conexiune negociată Protocolul Internet Key Exchange Protocolul Internet Key Exchange este conceput pentru autentificarea și negocierea parametrilor de schimb de protocol IPSec Protocolul PSE este o combinație a două protocoale, Protocolul de gestionare a asocierii și Protocolul de administrare Keu și Asociația Internetului (ISAKMP), numite faze de stabilire Gestionarea cheilor se poate face manual sau folosind alternative de protocol IKE, cum ar fi Serviciul de nume de domeniu securizat (DNS securizat), Photuris sau Protocolul simplu de schimb de chei pe Internet (SKIP) Prima fază a protocolului IKE În prima fază a protocolului IKE, utilizatorul de la distanță începe o sesiune cu dispozitivul gateway VPN Prima fază îndeplinește două funcții: autentificarea utilizatorului de la distanță și schimbul de informații despre cheia publică pentru a fi utilizate în a doua fază Autentificarea se poate face în mai multe moduri diferite Cea mai des folosită tehnologie este cheile pre-partajate și tehnologia certificatelor digitale Termenul "chei predistribuite" înseamnă că valorile cheilor sunt prestabilite pe toate computerele care vor stabili conexiuni prin VPN (ceea ce este un dezavantaj semnificativ) A doua metodă utilizează certificate digitale (certificate digitale, certificate digitale), care pot fi atribuite separat pentru fiecare obiect care se conectează la VPN Certificatele digitale pot fi gestionate și administrate de la distanță de la o Autoritate de Certificare (CA) Serviciul de certificare este piesa centrală a unei structuri numită infrastructură cu cheie publică (Public Key Infrastructura, PKI) În spatele infrastructurii PKI se află conceptul unei structuri accesibile public care distribuie informații despre cheile publice (publice) În prima fază, se pot utiliza două moduri pentru schimbul de informații de autentificare și parametri de securitate: principal (modul principal) și agresiv (modul agresiv) Diferențele dintre ele sunt în numărul de pachete de rețea schimbate între părți și în timpul pentru care este generată cheia publică Modul agresiv folosește un antet opțional mai mic, dar modul major este mai sigur și este cel mai des folosit A doua fază a protocolului IKE În a doua fază a protocolului IKE sunt negociați parametrii specifici asocierii de securitate IPSec Această negociere este similară cu modul de comunicare agresiv din prima fază După finalizarea celei de-a doua faze, se formează un SA și utilizatorul este conectat la VPN În a doua fază, singurul mod de negociere posibil este modul rapid Modul rapid este un schimb scurt folosind trei pachete Toate schimburile din faza a doua sunt criptate folosind protocoalele și tipurile de codare convenite în prima fază În acest caz, se folosește doar protecția bazată pe utilizarea unei funcții hash și a nonce (pop) inclus în pachetele de rețea pentru a confirma originalitatea lor (nonce este confirmarea faptului că informația cheie provine din sursa așteptată Nonce este un lucru aleatoriu) numărul generat de comunicarea inițiatorului, care este certificat de către intimat cu semnătură digitală și trimis înapoi) Această implementare include, de asemenea, un identificator de furnizor (ID de furnizor, VID) care permite participanților la interacțiunile multiplatforme să facă ipoteze despre capacitățile și configurația partenerilor lor, care pot avea producători diferiți Odată ce asocierea de securitate utilizată de protocolul IKE a fost creată, protocoalele de securitate pot fi aplicate Când construiți un VPN bazat pe protocolul IPSec, puteți alege să utilizați unul dintre protocoale (AH sau ESP) sau să le utilizați simultan Managementul cheilor Protocolul implicit de gestionare automată a cheilor pentru IPSec se numește ISAKMP/Oakley și constă din următoarele elemente: • Oakley Key Determination Protocol - Un protocol bazat pe algoritmul Diffie-Hellman, dar care oferă securitate suplimentară Protocolul Oakley este numit generic deoarece nu impune utilizarea unui anumit format; • Internet Secure Communications and Key Management Protocol - Oferă baza pentru schema de management al cheilor și suport pentru protocolul specific și formatele necesare pentru procedura de negociere a atributelor de securitate ISAKMP nu forțează utilizarea unui anumit algoritm de schimb de chei, dar sugerează utilizarea oricărui astfel de algoritm Protocolul Oakley este conceput pentru a păstra avantajele algoritmului Diffie-Hellman și pentru a elimina dezavantajele acestuia Algoritmul Oakley este caracterizat de următoarele caracteristici: ) utilizarea mecanismelor de rețetă (cookie-uri) pentru a proteja împotriva atacurilor de înfundare; ) un acord între cele două părți asupra unui grup care definește parametrii algoritmului de schimb de chei Diffie-Hellman; ) folosirea ocaziilor pentru a contracara atacurile de reluare; ) Schimbul de chei publice Diffie-Hellman; ) schimb de autentificare pentru a contracara atacurile de tip man-in-the-middle Să luăm în considerare aceste caracteristici în raport cu posibilele atacuri În cazul unui atac poluant, atacatorul falsifică adresa unei surse legitime și trimite cheia publică victimei Victima efectuează o cantitate semnificativă de operațiuni pentru a calcula cheia secretă Mesajele repetate în mod repetat de acest tip pot înfunda sistemul atacat cu muncă inutilă Cerința de schimb de rețete înseamnă că fiecare parte trebuie să trimită un număr pseudo-aleatoriu (rețetă) în mesajul inițial, pe care cealaltă parte trebuie să-l recunoască Această confirmare trebuie repetată în primul mesaj de schimb de chei Dacă adresa sursă a fost falsificată de către atacator, atunci acesta nu va primi răspuns Astfel, un atacator nu poate decât să forțeze utilizatorul să genereze confirmări și să nu efectueze calcule consumatoare de timp Metoda recomandată pentru generarea rețetelor este de a calcula rapid o funcție hash (de exemplu MD ) pentru adresele sursă și destinație, porturile UDP sursă și destinație și o valoare secretă generată local Algoritmul Oakley acceptă utilizarea diferitelor grupuri pentru schimbul de chei Fiecare grup definește doi parametri globali și un algoritm Specificațiile disponibile definesc următoarele grupuri Exponentiație în aritmetica clasei de reziduuri cu modul de de biți: ?= - - + ([ • l] + ), d = Exponentiație în aritmetica clasei de reziduuri cu modul de de biți: \u d , - - + ([ • l] + ), a \u d Grupul unei curbe eliptice peste un câmp finit de elemente: generator (în formă hexazecimală) - X = V, Y = = C ; parametrii curbei eliptice (în hexazecimal) - A = , Y = F Grup de curbe eliptice peste un câmp finit de elemente: generator (hexazecimal) - X= , Y=D; parametrii curbei eliptice (în hexazecimal) - A = , Y = EE Ocaziile sunt folosite pentru a proteja împotriva atacurilor de reluare a mesajelor Fiecare oportunitate este un număr pseudo-aleatoriu generat local Oportunitățile apar în răspunsuri și sunt criptate în anumite etape ale schimbului de date Cu algoritmul Oakley, pot fi utilizate trei metode diferite de autentificare Semnături digitale - schimbul de date este autentificat folosind o semnătură cu funcție hash disponibilă ambelor părți: fiecare parte criptează codul hash cu cheia sa secretă Un cod hash este generat pentru anumiți parametri importanți, cum ar fi ID-ul utilizatorului și ocazie Criptare cheie publică - Autentificarea schimbului de date se realizează prin criptarea unor parametri de schimb (de exemplu, identificatori și ocazii) folosind cheia privată a expeditorului Criptarea cheii simetrice-Criptarea simetrică a parametrilor de schimb folosind o cheie obținută folosind un mecanism suplimentar poate fi utilizată pentru a identifica schimbul de date Specificația Oakley include o serie de exemple de schimburi permise pentru acest protocol Luați în considerare un exemplu de schimb de chei agresiv între abonații A și B, în care trebuie schimbate doar trei mesaje: A->B: CKYa, OK KEYX, GRP, gx, EHAO, NIDP, IDA, IDB, Na, Ska [IDa|| IDB||NA||GRP||gx||EHAO]; B->A: CKYB, CKYa, OK KEYX, GRP, gy, EHAS, NIDP, IDB, IDa, Nb, Skb [IDb|| IDa || Nb|| Na||GRP|| gy IIEHAS]; ' A->B: CKYa, CKYb, OK KEYX, GRP, gx, EHAS, NIDP, IDA, IDB, Na, Nb, Ska [IDa|| IDb||Na|| Nb|| GRP||gx|| gy||EHAS] unde CKYa, CKYb sunt prescripțiile abonaților A și, respectiv, B; OKEYX este tipul de mesaj de schimb de chei; GRP este numele grupului pentru acest schimb; gx, gy - cheile publice ale abonaților; gxy este cheia de sesiune pentru acest schimb; EHAO, EHAS - funcții de criptare (E), hashing (H), autentificare (A), propus (O) și selectat (S); NIDP - restul mesajului nu este supus criptării; IDA, IDB - identificatori O Rețeta de inițiator Rețeta respondentului Următoarea sarcină utilă Versiune majoră Min numărul versiunii Tipul de schimb Indicatori ID mesaj Lungime Orez Format antet ISAKMP abonati; NA, NB sunt numere aleatorii de abonați pentru acest schimb; SKA [, ],ȘKB [•••] - semnături folosind cheile secrete ale abonaților; || este simbolul de concatenare Protocolul ISAKMP definește procedurile și formatele de pachete utilizate pentru a negocia crearea, modificarea sau eliminarea asociațiilor securizate Ca parte a procesului de stabilire a unei asocieri sigure, ISAKMP definește sarcina utilă a mesajelor de schimb de chei și de autentificare a datelor Un mesaj ISAKMP constă dintr-un antet urmat de încărcături utile Toate acestea sunt transmise folosind un protocol de transport (specificațiile necesită orice implementare pentru a sprijini utilizarea UDP) Pe fig Figura prezintă formatul antetului ISAKMP, care conține următoarele câmpuri: • reteta initiator ( biti); • Prescripția intimatului ( biți); • sarcină utilă următoare ( biţi) - indică tipul primei încărcări utile din mesaj; • numărul versiunii majore ( biți) - Indică numărul versiunii majore a ISAKMP utilizat; • numărul versiunii minore ( biţi) - indică numărul versiunii minore utilizat; • tipul schimbului ( biți) - indică tipul schimbului; • flags ( biți) - indică parametrii setați pentru acest schimb ISAKMP În prezent, sunt definiți doi biți: un bit de criptare (setat atunci când toate încărcările disponibile după antet sunt criptate folosind algoritmul de criptare al comunicației securizate) și un bit de blocare (conceput pentru a se asigura că nu este primit niciun material criptat înainte de începerea comunicației securizate) ; • identificator mesaj ( biți) - identificatorul unic al mesajului dat; • lungime ( de biți) - lungimea întregului mesaj (antet și toate încărcăturile utile în octeți) Tipuri de încărcătură utilă ISAKMP Toate încărcăturile utile ISAKMP au același tip de antet Formatul antetului unei sarcini utile tipice este prezentat în Figura Următorul câmp de sarcină utilă are valoarea dacă această sarcină utilă este ultima din mesaj (în caz contrar, valoarea câmpului este tipul următoarei sarcini utile) Valoarea câmpului de lungime a sarcinii utile indică lungimea în octeți a sarcinii utile corespunzătoare, inclusiv lungimea antetului acesteia În tabel enumeră tipurile de sarcini utile permise pentru ISAKMP și specifică câmpurile (parametrii) care alcătuiesc sarcina utilă a fiecăruia dintre aceste tipuri Tipul de sarcină utilă SA (Secure Communication) este utilizat pentru a începe procesul de creare a unei comunicări securizate În acest caz, parametrul Domain of Interpretation identifică domeniul de interpretare (DOI) în cadrul căruia are loc negocierea Parametrul Situație definește politica de securitate pentru procesul de negociere prin setarea nivelurilor de securitate (de exemplu, rating de securitate, nivel de securitate) Sarcina utilă de tip P (propunere) include informații utilizate în negocierea atributelor legăturii securizate care este creată și indică, de asemenea, protocolul pentru legătura securizată (ESP sau AH) care este negociată În plus, sarcina utilă de acest tip include indexul parametrilor de securitate ai obiectului expeditor și numărul de transformări Fiecare transformare este cuprinsă într-o sarcină utilă de tip T (transformare) Utilizarea mai multor sarcini utile de tip transformare permite inițiatorului să propună mai multe opțiuni din care respondentul trebuie să selecteze una sau să respingă propunerea Sarcina utilă de tip T (transformare) definește informațiile de securitate care trebuie utilizate pentru a securiza canalul de comunicație în conformitate cu protocolul specificat Parametrul Transform # (număr de transformare) vă permite să identificați această sarcină utilă, astfel încât respondentul să se poată referi la acest număr în sprijinul deciziei sale de a utiliza această transformare particulară Transformați câmpurile ID O Următoarea sarcină utilă Lungimea încărcăturii rezervate Orez Format generic antet sarcină utilă Tabelul Tipuri de încărcătură utilă ISAKMP Tip Opțiuni Descriere Secure Communication (SA) Domeniul de interpretare, situația Folosit pentru a negocia atributele de securitate și pentru a indica domeniul de interpretare și situația în care are loc o astfel de negociere Propoziție (P) Numărul propoziției, identificatorul protocolului, lungimea indexului parametrilor de securitate, numărul de transformări, indexul parametrilor de securitate Utilizat în timpul negocierii parametrilor legăturii securizate create, indică protocolul utilizat și numărul de transformări Transformare (T) Numărul transformării, identificatorul transformării, atributele de comunicare securizată Aplicat în timpul negocierii parametrilor de comunicare securizată, indică transformarea și atributele de comunicare securizată corespunzătoare Schimb de chei (KE) Date de schimb de chei Acceptă o varietate de metode de schimb de chei Identificare (ID) Tip de identificare, date de identificare Destinat schimbului de informații de identificare Certificat (CERT) Codificare certificat, date de certificare Folosit pentru a trimite certificate și alte informații legate de certificate Cerere de certificat (CR) Numărul de tipuri de certificate, tipuri de certificate, numărul de tipuri de CA, CA Utilizat pentru solicitările de certificate, specifică tipurile de certificate solicitate și CA acceptabile Hashing (HASH) Date hash Conține datele generate de funcția hash Sfârșitul mesei Tip Opțiuni Descriere Semnătură (SIG) Date de semnătură Conțin datele generate de funcția de semnătură digitală Ocazie (NONCE) Date despre ocazie Conțin ocazia Notificare (N) Zona de identificare, ID protocol, lungimea indexului parametrului de securitate, tipul de notificare, indexul parametrilor de securitate, datele de notificare Folosit pentru a trimite date de notificare, cum ar fi o indicație de eroare Ștergere (D) Zona de identificare, identificatorul de protocol, lungimea indexului parametrului de securitate, numărul de indici ai parametrilor de securitate, indexul parametrilor de securitate (unul sau mai mulți) Indică o asociere sigură care nu mai este validă transformări) și Atribute (atribute) definesc transformarea (de exemplu, DES pentru ESP sau HMAC-SHA- - pentru AH) și parametrii asociați (de exemplu, lungimea codului hash) Sarcina utilă KE (schimb de chei) poate fi utilizată pentru o varietate de metode de schimb de chei, inclusiv schimbul de chei Oakley, Diffie-Hellman și RSA Câmpul Keu Exchange data (date de schimb de chei) conține datele necesare pentru a crea o cheie de sesiune și depinde de algoritmul de schimb de chei utilizat Sarcina utilă de tip ID (identificare) are scopul de a identifica părțile care comunică și poate fi utilizată pentru a verifica autenticitatea informațiilor De obicei, câmpul de date ID conține o adresă IPv sau IPv O sarcină utilă de tip CERT (certificat) poartă un certificat de cheie publică Câmpul Codificare certificat indică tipul de certificat sau informațiile asociate cu certificatul, ceea ce poate însemna următoarele: • Certificat X în codificare KCS # ; • certificat PGP; • cheie DNS semnată; • certificat X - semnătură; • certificat X - schimb de chei; • bilete Kerberos; • lista de revocare a certificatelor (CRL); • Lista de autorizare revocată (ARL); • Certificat SPKI O sarcină utilă CR (Certificate Request) poate fi plasată de către expeditor la orice punct de schimb ISAKMP pentru a solicita un certificat de la cealaltă parte implicată în schimb Această sarcină utilă poate conține o listă cu mai multe tipuri de certificate și mai multe autorități de certificare care sunt considerate acceptabile O sarcină utilă de tip HASH (hash) conține datele generate de funcția hash pentru o parte a mesajului și/sau a stării ISAKMP Cu această sarcină utilă, puteți verifica integritatea datelor din mesaj sau puteți autentifica entitățile de negociere Sarcina utilă de tip SIG (semnătură) conține datele generate de funcția de semnătură digitală pentru o parte a mesajului și/sau a stării ISAKMP Această sarcină utilă servește la verificarea integrității datelor din mesaj și poate fi utilizată ca parte a unui serviciu fără declinare a răspunderii Sarcina utilă de tip NONCE (ocazie) include date aleatorii care asigură că procesul de schimb este efectuat în timp real și protejat de atacurile de reluare a mesajelor Sarcina utilă de tip N (notificare) conține informații despre fie o eroare, fie o stare asociată cu o anumită legătură securizată și un anumit proces de negociere a parametrilor de legătură securizată Sarcina utilă de tip D (ștergere) indică una sau mai multe asocieri sigure care se presupune că sunt invalide deoarece expeditorul le-a eliminat din baza sa de date Schimb ISAKMP Protocolul ISAKMP oferă baza pentru schimbul de mesaje, ale căror elemente de bază sunt încărcăturile utile Specificațiile specifică cinci tipuri de schimb care ar trebui să fie suportate în mod implicit: schimb de bază, schimb protejat de identitate, schimb doar de autentificare, schimb puternic și schimb de informații Schimbul de bază permite schimbul de chei și date de autentificare în același timp (Tabelul ) Acest lucru reduce la minimum numărul de mesaje schimbate prin neprotejarea identității părților Primele două mesaje permit schimbul de rețete și creează o comunicare sigură cu protocolul și transformările convenite Ambele părți folosesc oportunitățile pentru a se apăra Tabelul Schimb de bază Nu Mesaj de schimb Comentariu A->B: SA, NONCE Incepe negocierea comunicarii securizate V->A: SA, NONCE Parametrii de bază de comunicare securizată sunt de acord A^B: KE, IDa, AUTH Cheie generată, inițiator autentificat pentru răspuns B->A: KE, IDB, AUTH Inițiatorul identificat răspuns, cheie generată, comunicare securizată stabilită evita atacurile de reluare a mesajelor Celelalte două mesaje schimbă informații legate de chei și ID-uri de utilizator Sarcina utilă AUTH este utilizată pentru a autentifica cheile implicate în schimbul de părți și ocazii din primele două mesaje Un schimb de identitate protejată este o extensie a schimbului de bază pentru a proteja informațiile despre părțile implicate în schimb (Tabelul ) Primele două mesaje creează o conexiune sigură Următoarele două mesaje se schimbă Tabelul Schimb cu protecția identității părților Nu Mesaj de schimb Comentariu A->B: SA Incepe negocierea comunicarii securizate V->A: SA Parametrii de bază de comunicare securizată sunt de acord A->B: KE, NONCE Cheie generată B->A: KE, NONCE Cheie generată V->A: IDa, AUTH Responderul identificat inițiator A->B: IDB, AUTH Inițiator identificat respondent, comunicare securizată stabilită Tabelul Schimbați numai date de autentificare Nu Mesaj de schimb Comentariu A^B: SA, NONCE Începe negocierea de comunicare securizată B->A: SA, NONCE, IDB, AUTH Parametrii de bază pentru comunicare securizată agreați, respondent identificat inițiator A->B: IDa, AUTH Inițiatorul a identificat răspunsul, comunicarea securizată stabilită chei și includ două carcase pentru a proteja împotriva atacurilor de reluare Odată ce cheia de sesiune este disponibilă, părțile fac schimb de mesaje criptate (în mesajele și , sarcina utilă după ce antetul ISAKMP este criptat) conținând informații de autentificare, cum ar fi semnături digitale și, dacă este necesar, certificate de cheie publică Schimbul numai de autentificare este utilizat pentru a realiza autentificarea reciprocă fără schimb de chei (Tabelul ) Primele două mesaje creează o conexiune sigură În plus, respondentul folosește al doilea mesaj pentru a-și transmite identitatea și folosește autentificarea pentru a securiza mesajul Inițiatorul trimite un al treilea mesaj pentru a-și transmite identitatea autentificată Tabelul Schimb energetic Nu Mesaj de schimb Comentariu A->B: SA, KE, NONCE, IDa Începe negocierea comunicațiilor securizate și schimbul de chei B->A: SA, KE, NONCE, IDB, AUTH Responderul identificat inițiatorul, cheia generată, parametrii de bază de comunicare sigură agreați A->B: Inițiatorul AUTH a identificat răspunsul, comunicarea securizată stabilită Tabelul schimb de informatii Nu Mesaj de schimb Comentariu A->B: N/D Notificare de eroare sau stare sau notificare de eliminare a legăturii Un schimb viguros minimizează numărul de mesaje schimbate prin renunțarea la protecția identității părților (Tabelul ) În primul mesaj, inițiatorul își propune să creeze o conexiune sigură cu un set de protocoale și transformări propuse În plus, inițiatorul începe schimbul de chei și trimite identificatorul acesteia În al doilea mesaj, respondentul indică acceptarea asocierii securizate cu protocolul și transformarea deja specifice, completează schimbul de chei și autentifică informațiile transmise În al treilea mesaj, inițiatorul transmite rezultatul autentificării informațiilor primite anterior, criptându-l folosind o cheie de sesiune secretă partajată Schimbul de informații este destinat transferului unidirecțional de informații privind parametrii controlului comunicațiilor securizate (Tabelul ) În acest mesaj, sarcina utilă după antetul ISAKMP este criptată Protocolul de autentificare antet Protocolul AH este protocolul IP Acceptă funcționalitatea de autentificare și integritate, dar nu acceptă confidențialitatea conținutului pachetului Asigurarea autentificării și protecției integrității se realizează prin adăugarea unui antet suplimentar la pachetul IP Acest antet conține o semnătură digitală numită Integrity Check Value (ICV), care este practic o valoare hash care confirmă că pachetul nu a fost modificat în timpul transportului Informațiile despre protocolul IP conținute în pachet asigură că conținutul pachetului este corect, dar este transmis în mod clar Deoarece protocolul AH se uită la antetul pachetului IP atunci când calculează semnătura digitală, se poate verifica dacă adresa IP a expeditorului este autentică și că pachetul provine de la persoana potrivită Protocolul NA acceptă, de asemenea, utilizarea numerelor de secvență pentru a ajuta la prevenirea atacurilor O Lungimea conținutului pachetului de antet următor este rezervată Indexul parametrilor de securitate (SPI) Număr de serie Informații de autentificare (lungime variabilă, multiplu de de octeți) Orez Structura antetului pachetului de , AH reluarea atacurilor Aceste numere sunt folosite de dispozitivele de comunicație pentru a urmări fluxul de pachete de rețea dintr-o sesiune de comunicare Utilizarea informațiilor din antetul IP de către AH o face incompatibilă cu utilizarea NAT Structura antetului de pachet AN este prezentată în fig Următorul câmp de antet conține un identificator care identifică tipul de antet al pachetului care urmează antetului pachetului AH Câmpul Packet Content Length specifică lungimea antetului pachetului AH Indexul parametrilor de securitate indică din ce flux de comunicații unic de asociere de securitate face parte pachetul în cauză Autentificat, cu excepția câmpurilor mutabile - Antet IP Antet AH Antet TCP Date Antet IP Antet TCP Date Antet IP nou Antet AH Antet IP Antet TCP Date Autentificat, cu excepția câmpurilor mutabile din noul antet IP • AH (mod de transport) ambalaj original AH (mod tunel) Orez Schema de conversie a pachetului original în pachetul AN Numărul de secvență este o valoare incrementală unică care are scopul de a preveni reutilizarea pachetului Câmpul de informații de autentificare conține o valoare de verificare a integrității și o semnătură digitală care autentifică pachetul în cauză Schema de conversie a pachetului original într-un pachet AH pentru diferite moduri este prezentată în fig Protocol de încapsulare sigură a conținutului pachetului ESP este protocolul IP Oferă confidențialitate prin criptarea completă a conținutului pachetelor IP Protocolul ESP este implementat sub formă de module și poate utiliza orice număr de algoritmi de criptare simetrici disponibili, inclusiv DES, DES, IDEA Aplicarea protocolului ESP diferă în funcție de modul de protocol IPSec utilizat În modul de transport, protocolul ESP adaugă pur și simplu propriul antet după antetul IP și criptează restul pachetului de rețea de la nivelul de transport încolo Dacă este definit și un serviciu de autentificare, ESP adaugă un trailer Marcajul final este destinat să confirme integritatea pachetului și autentificarea (spre deosebire de protocolul AH, valoarea de verificare a integrității este calculată fără a utiliza informațiile din antetul IP) Indexul parametrilor de securitate (SPU) Număr de serie Continutul pachetului (valoare variabilă, multiplu de de biți) Informații de autentificare (opțional) Orez Structura antetului pachetului ESP Orez Schemă pentru conversia unui pachet sursă într-un pachet ESP Când se utilizează modul tunel, protocolul ESP încapsulează pachetul original în întregime, criptându-l în întregime și generând un nou antet IP și un antet ESP în dispozitivul de tunel Se adaugă, de asemenea, un indicator final dacă este selectat serviciul de autentificare ESP În oricare dintre moduri, protocolul ESP utilizează numere de secvență în fiecare pachet de rețea Când rulați protocolul ESP în modul tunel, puteți utiliza NAT Structura antetului pachetului ESP este prezentată în fig Câmpul de lungime de umplutură indică cât de adăpostit este conținutul pachetului (dacă există), astfel încât lungimea conținutului pachetului și câmpurile de antet ulterioare să îndeplinească cerința de aliniere a lungimii pachetului de rețea Următorul câmp de antet raportează numărul de protocol al pachetului, care este încapsulat în pachetul de protocol ESP Câmpul Informații de autentificare conține o valoare opțională de verificare a integrității care este disponibilă pentru pachetele de protocol ESP Schema de conversie a pachetului sursă într-un pachet ESP pentru diferite moduri este prezentată în fig Un exemplu de utilizare a protocolului IKE Să ilustrăm aplicarea protocolului cu un exemplu pentru un router Cisco, care poate fi configurat ca parte a unui VPN în diferite moduri Acest exemplu creează un tunel din de la un router la altul folosind protocolul ESP și algoritmul SHA- Primul fragment stabilește setările pentru gestionarea asociațiilor și cheilor de securitate pe Internet pentru configurarea protocolului IKE, după cum urmează: crypto isakmp policy autentificare pre-partajare cheie cripto isakmp adresa În acest caz, utilizarea unei chei de pre-partajare este definită ca tip de autentificare, iar valoarea cheii în sine pentru adresa dată este setată în rândul următor În continuare, sunt specificate opțiunile de securitate pe care le va solicita acest router atunci când se negociază o asociere de securitate Aceste opțiuni sunt numite un set de transformare' crypto ipsec transform-set securizat esp- des esp-sha-hmac Setul de transformare securizată este configurat, listând combinațiile permise de protocoale și algoritmi de autentificare Următoarea comandă este utilizată pentru a atribui interfeței un card de criptare adecvat (criptomap), numit old\ cripto tar star local-adresă ethernetl O hartă de criptare este un set de informații de configurare care definește traficul care ar trebui să treacă prin VPN: crypto tar star ipsec-isakmp set peer set transform-set secure adresa de potrivire Aceste comenzi leagă împreună toate componentele configurației VPN, dau adresa peer a obiectului către care va fi creat tunelul, lista de seturi de traducere permise și definesc lista de control al accesului pentru traficul numerotat care urmează să fie direcționat prin VPN (aceasta este o listă extinsă): lista de acces permis ip lista de acces deny ip orice Acest ACL definește traficul VPN ale cărui pachete trebuie să fie criptate și direcționate către punctul final VPN corespunzător Următorul este un fragment al configurației interfeței routerului: Platonov interfață Ethernet descriere interfață externă adresa ip xxxx stea cripto tar Serviciul de traducere a adreselor trebuie apoi configurat pentru a permite traficului securizat de tunel să ocolească această traducere (harta de rută corespunzătoare se numește nonafy ip nat în interiorul sursei ruta-hartă nonat interfață Ethernet l supraîncărcare hartă rută nonat permisul se potrivește cu adresa IP Această hartă a rutei permite traficului care este refuzat în lista de control al accesului să ocolească traducerea adreselor de rețea, în timp ce dispozitivul de traducere permite traficul Următoarele sunt regulile listei de control al accesului, care sunt definite în harta de rută nonat' lista de acces deny ip lista de acces permis ip orice Această listă este folosită pentru a ocoli traducerea adreselor de rețea și pentru a permite traficul legat de protocolul IPSec care inițiază tunelul: lista de acces permite udp orice orice eq isakmp lista de acces permite în special orice orice Acest ACL este configurat pentru a permite traficul ISAKMP (port /udp) și ESP (protocol IP Protocolul AH numărul ) Partajarea protocolului ESP și AN O singură legătură securizată poate folosi fie protocolul AH, fie protocolul ESP, dar nu ambele protocoale în același timp Cu toate acestea, uneori, un anumit flux de date poate necesita atât un serviciu AH, cât și un serviciu ESP În toate cazurile, un singur fir are nevoie de mai multe legături securizate pentru a primi un set de servicii IPSec Un astfel de set de asocieri sigure se numește pachet de asociere de securitate, prin care setul necesar de servicii IPSec trebuie furnizat fluxului În acest caz, legăturile securizate din fascicul pot fi terminate la puncte finale diferite Linkurile securizate pot fi grupate în următoarele două moduri: ) adiacența de transport - în acest caz, mai multe protocoale de securitate sunt aplicate unui pachet IP fără a crea un tunel Această combinație de AH și ESP este eficientă doar pentru un nivel de imbricare, deoarece procesarea se face la un moment dat - IPSec al destinatarului final; ) re-tunnel - în acest caz, se aplică mai multe straturi de protocoale de protecție folosind tunelul IP Această abordare permite mai multe niveluri de imbricare, deoarece tunelurile pot începe și se pot termina la diferite noduri de rețea activate IPSec de-a lungul căii de date În plus, aceste două abordări pot fi combinate Apoi, când luăm în considerare pachetele de legături securizate, apare întrebarea - în ce ordine pot fi aplicate autentificarea și criptarea între o pereche dată de noduri finale Luați în considerare mai multe abordări ale unei astfel de combinații În cazul utilizării ESP cu opțiunea de autentificare, utilizatorul aplică mai întâi ESP la datele care trebuie protejate, apoi adaugă câmpul de date de autentificare În funcție de modurile utilizate, sunt posibile următoarele opțiuni (în ambele opțiuni, textul cifrat este supus autentificării): • Modul de transport ESP-autentificarea și criptarea sunt aplicate încărcăturii IP furnizate nodului destinație, dar antetul IP nu este protejat; • Mod tunel ESP - Autentificarea se aplică și este efectuată de întregul pachet IP livrat la adresa IP a unui destinatar extern (de exemplu, IE) Întregul pachet IP interior este protejat prin secret, deoarece este destinat să fie livrat către destinația IP internă În cazul adiacenței de transport, se utilizează un pachet de două legături securizate în mod de transport, unde legătura interioară este legătura securizată ESP și legătura exterioară este legătura securizată AH În acest caz, ESP este utilizat fără opțiunea de autentificare Deoarece comunicarea internă securizată este utilizată în modul de transport, sarcina utilă IP trebuie să fie criptată Pachetul rezultat constă dintr-un antet IP urmat de date ESP AH este apoi aplicat în modul de transport, astfel încât autentificarea să acopere datele ESP și antetul IP original, cu excepția câmpurilor care sunt modificate Avantajul acestei abordări este că, în abordarea combinată, autentificarea acoperă mai multe câmpuri, inclusiv câmpuri de adresă IP sursă și destinație Dezavantajul este asociat cu utilizarea a două legături securizate în loc de una Luați în considerare modul de transport-tunel În unele cazuri, poate fi adecvat să folosiți autentificarea înainte criptare Pentru a face acest lucru, se utilizează un pachet de legături securizate, constând dintr-o legătură de transport securizată internă AH și o legătură externă securizată de tunel ESP În acest caz, autentificarea acoperă încărcarea IP împreună cu antetul IP (și extensiile), cu excepția câmpurilor care sunt modificate Pachetul astfel primit este apoi procesat în modul tunel ESP, în urma căruia pachetul interior, împreună cu datele de autentificare, este criptat și are un nou antet IP exterior (cu extensiile necesare) Principalele tipuri de legături securizate RFC oferă patru exemple de combinație de comunicații securizate care trebuie să fie acceptate de gazde sau gateway-uri de securitate activate cu IPSec Luați în considerare aceste exemple Asigurarea protecției comunicațiilor între sistemele terminale folosind IPSec (Fig ) Aceste sisteme finale trebuie să utilizeze secrete partajate Sunt permise următoarele combinații: • AN în regim de transport; • ESP în regim de transport; • mai întâi AH și apoi ESP în regim de transport; • oricare dintre comunicațiile anterioare din AH sau ESP în modul tunel Asigurarea protecției între gateway-uri (Fig ) În acest caz, protecția este organizată doar între gateway-uri (routere, firewall-uri), iar IPSec nu ar trebui să fie utilizat în nodurile finale Este necesară o singură legătură securizată tunelată Tunelul poate folosi AH, ESP sau ESP cu opțiunea de autentificare Asigurarea protecției cap la cap (Fig ) În acest caz, se utilizează o schemă de securitate între gateway-uri cu adăugarea de securitate end-to-end Tunelul gateway-to-gateway oferă autentificare și/sau confidențialitate pentru tot traficul dintre sistemele terminale (când tunelul folosește ESP, este asigurată confidențialitatea limitată a traficului) Sistemele terminale pot utiliza servicii IPSec suplimentare cerute de anumite gazde Asigurarea protecției accesului la distanță (Fig ) În acest caz, protecția este asigurată pentru un nod la distanță care utilizează Internetul pentru a comunica cu ME al organizației pentru a obține acces la nodul rețelei locale protejat de acest ME Numai modul tunel ar trebui utilizat între nodul la distanță și ME Ca și în opțiunea , pot fi utilizate una sau două legături securizate între nodurile de la distanță și cele locale Orez Protecția accesului de la distanță: - utilizator; - Gateway IPSec Protocoale VPN la nivel de transport Protocoalele stratului de transport sunt transparente pentru protocoalele de aplicații și servicii (HTTP, FTP, POP , SMTP, NNTP etc ) Deoarece stratul de transport este responsabil pentru stabilirea și gestionarea conexiunilor logice, este posibil ca stratul de transport să utilizeze programe proxy care validează conexiunile și oferă alte funcții de securitate Dintre protocoalele de nivel de transport, cel mai utilizat este protocolul Secure Socket Layer / Transport Layer Security (SSL / TLS) dezvoltat de Netscape Communications IETF a dezvoltat protocolul SOCKS ca standard pentru a media între două părți care interacționează Protocolul SSL Protocolul SSL/TLS (SSL) a fost inițial concentrat pe organizarea unui schimb securizat între un client și un server Partea client a protocolului este inclusă în toate browserele Web populare, iar partea serverului este inclusă în majoritatea Web ceps, atât comerciale, cât și gratuite Protocolul SSL stabilește tuneluri securizate între punctele finale (client și server) Formarea unui schimb sigur are loc în două etape: ) stabilirea unei sesiuni SSL; ) interacțiune sigură Procedura de stabilire a unei sesiuni SSL se realizează folosind protocolul Handshake, care face parte din SSL În timpul stabilirii unei sesiuni SSL, se parcurg următorii pași principali: • clientul trimite o cerere către server pentru a stabili o conexiune securizată, în care sunt transmise parametrii conexiunii: ora și data curente, secvența aleatorie RAND CL, un set de algoritmi de compresie suportați de client, funcții de hashing și algoritmi criptografici; • serverul, după ce a procesat cererea, transmite clientului un set agreat de parametri, care include: identificatorul de sesiune, algoritmii și funcțiile dintre cei propuși, certificatul de server și secvența aleatorie RAND SERV; • clientul verifică certificatul serverului și, dacă verificarea este pozitivă, efectuează următoarele operații: generează o secvență aleatorie ( de octeți) de PreMasterSecret, o criptează cu cheia publică a serverului și o trimite către server; generează o cheie MasterSecret folosind o funcție hash negociată folosind PreMasterSecret, RANDCL și RAND SERV; generează chei de sesiune folosind MasterSecret; • serverul decriptează secvența PreMasterSecret și efectuează operațiuni similare cu clientul; • Pentru a verifica identitatea parametrilor sesiunii SSL, clientul și serverul își trimit reciproc mesaje text constând din datele pe care clientul și serverul le-au schimbat în pașii anteriori În cazul decriptării și verificării cu succes a integrității fiecăreia dintre părți, se consideră că sesiunea este stabilită și părțile trec la modul de interacțiune securizat În timpul comunicării securizate, ambele părți generează un MAC pentru fiecare mesaj în timpul transmiterii și criptează mesajul original cu codul MAC La primire, mesajul este decriptat și integritatea acestuia este verificată O caracteristică a protocolului SSL este că atunci când se utilizează SSL în afara Statelor Unite, există restricții de export privind lungimea cheilor de criptare, aceleași restricții se aplică algoritmilor de criptare ai browserelor Web Protocolul SOCKS Protocolul SOCKS a fost dezvoltat pentru a organiza funcțiile de mediere între aplicațiile client-server și nu este legat de protocolul IP și nu depinde de OS Versiunile și ale acestui protocol sunt cele mai utilizate, cu SOCKS v aprobat de IETF (Internet Engineering Task Force) ca standard Protocolul SOCKS v este o extensie a celei de-a patra versiuni și implementează următoarele caracteristici suplimentare: • clientul poate trimite adresa IP de destinație sau numele acesteia DNS către server; • suport împreună cu protocolul TCP și UDP; • la autentificarea utilizatorilor, serverul poate negocia metoda de autentificare cu clientul, permițând autentificarea bidirecțională; • Posibilitatea de a utiliza o schemă extinsă de adrese IP Partea server este de obicei localizată în rețeaua ME, iar partea client este localizată pe computerul utilizatorului Schema generalizată de stabilire a conexiunii include următorii pași principali: • utilizatorul emite o cerere care este interceptată de clientul SOCKS; • Clientul SOCKS se conectează la serverul SOCKS și îi spune identificatorii metodelor de autentificare acceptate; • Serverul SOCKS selectează o metodă de autentificare (dacă nu posibilitatea de a folosi metodele propuse, conexiunea este întreruptă); , • în conformitate cu metoda selectată, serverul SOCKS autentifică utilizatorul (dacă autentificarea eșuează, conexiunea este întreruptă); • la autentificarea cu succes, clientul SOCKS trimite numele DNS sau adresa IP a serverului de aplicații solicitat; • Pe baza regulilor de control acces disponibile, serverul SOCKS permite sau refuza stabilirea unei conexiuni cu acest server de aplicatii; • Când se stabilește o conexiune, clientul și serverul de aplicații interacționează unul cu celălalt, iar clientul SOCKS și serverul SOCKS transmit date, acționând ca intermediari Autentificarea utilizatorului se poate baza pe parole sau certificate digitale X Orice protocol poate fi folosit pentru a cripta traficul Popularele browsere Netscape Navigator și Internet Explorer acceptă protocolul SOCKS Certificate digitale Comunicațiile securizate necesită utilizarea criptării, care la rândul său necesită ca utilizatorul să aibă o cheie de criptare Aceasta ridică problema managementului cheilor, care include următoarele sarcini: generarea, verificarea, distribuirea, utilizarea, stocarea, copierea de rezervă, actualizarea, distrugerea cheilor și stabilirea duratei de viață a cheilor Când folosește criptarea simetrică, utilizatorul trebuie să aibă chei pentru toți abonații cu care trebuie să mențină comunicații securizate, astfel încât criptarea asimetrică a devenit cea mai răspândită Cu toate acestea, din cauza complexității calculelor, criptarea asimetrică este de obicei utilizată pentru a genera o cheie de sesiune, care este folosită pentru a cripta simetric datele din sesiunea curentă Utilizarea criptării asimetrice necesită un sistem public care să conțină cheile publice ale abonaților În acest caz, este posibilă falsificarea cheii publice Această problemă este rezolvată prin utilizarea certificatelor de cheie publică Un certificat este o înregistrare de date semnată cu o semnătură digitală care conține numele și cheia publică a abonatului Certificatul este semnat de un serviciu special creat - o autoritate de certificare autorizată în care abonații au încredere O schemă de generare a certificatelor de cheie publică bazată pe standardul X a câștigat distribuție universală Descrierea formală a structurii certificatului este următoarea: Certificat ::= SEQUENCE { tbsCertificate TBSCertificate, signatureAlgorithm Algorithmldentifier, signatureValue BIT STRING } TBSCertificate ::= SEQUENCE { versiunea [ ] EXPLICIT Version DEFAULT vl, serialNumber CertificateSerialNumber, signatura Algorithmldentifier, emiter Name, validity Validity, subject Name, subjectPublicKeylnfo SubjectPublicKeylnfo, issuerUniqueID [ ] IMPLICITATION UniqueID [ ] Dacă este prezentă, versiunea va fi v sau v subjectUniqueID [ ] IMPLICIT Uniquedentifier OPȚIONAL, - Dacă există, versiunea trebuie să fie extensii v sau v [ ] Extensii EXPLICITĂ OPȚIONAL - Dacă este prezentă, versiunea va fi v } Versiunea INTEGER { vl( ), v ( ) , v ( ) } CertificateSerialNumber ::= INTEGER Valabilitate ::= SEQUENCE { notBefore Time, notAfter Time } ALEGEREA timpului { utcTime UTCTime, generalTime GeneralizedTime } Identificator unic ::= BIT STRING SubjectPublicKeylnfo ::= SEQUENCE { algorithm Algorithmldentifier, subjectPublicKey BIT STRING } Extensii SEQUENCE SIZE ( MAX) OF Extensie EXTENSIE SEQUENCE { extnID OBJECT IDENTIFIER, critici BOOLEAN DEFAULT FALSE, extnValue OCTET STRING } Fiecare utilizator își poate livra cheia publică unui centru autorizat într-un mod sigur și poate primi un certificat corespunzător Apoi poate publica certificatul rezultat Certificatele X Q sunt utilizate în majoritatea aplicațiilor firewall, inclusiv IPSec, SSL, SET, S/MIME și altele Formatul certificatului X este prezentat în Figura Versiune Numarul certificatului Identificatorul algoritmului de criptare și parametrii algoritmului de semnătură Numele entității care a emis certificatul Perioada de valabilitate a certificatului (nu mai devreme de T, "nu mai târziu de Tk) Numele subiectului Cheia publică a subiectului, ID-ul algoritmului și parametrii algoritmului Identificatorul entității care a emis certificatul ID-ul entității care a primit certificatul Extensii Algoritm de semnătură, parametri de algoritm, semnătură digitală certificat Orez format certificat X Pe lângă lista certificatelor de cheie publică ale abonaților, centrul autorizat conține două liste importante care vă permit să efectuați funcții de gestionare a certificatelor: o listă de revocare a certificatelor (CRL), o listă de autorități revocate (ARL) CA semnează certificatul cu cheia sa privată Dacă toți utilizatorii folosesc o singură autoritate de certificare, atunci aceasta înseamnă o încredere comună în această autoritate X prevede o ierarhie de centre, care permite crearea unor sisteme complexe de management al cheilor Exemple de construcție VPN internă Protocoalele pentru construirea de rețele virtuale securizate pot fi implementate prin diferite mijloace: • servere de acces la distanță care vă permit să creați tuneluri securizate la nivel de legătură; • routere care suportă protocoale pentru crearea de rețele virtuale securizate la nivel de legătură de date și de rețea; • firewall-uri, inclusiv servere de acces la distanță și care vă permit să creați VPN-uri la nivel de canal, rețea și transport; • software specializat pentru realizarea de tuneluri securizate la nivel de rețea și transport; • instrumente software și hardware care permit crearea de tuneluri securizate la nivelul conexiunii de date și al rețelei Ca exemplu intern de construire a unui VPN, luați în considerare caracteristicile sistemului Continent-K al produselor NIP Informzashchita și ViPNet de la Infotecs Componentele principale ale sistemului Continent-K sunt un gateway cripto, un centru de control al rețelei gateway cripto, un software de gestionare a rețelei gateway cripto și o stație de abonat Un gateway cripto este un dispozitiv software și hardware care rulează sistemul de operare FreeBSD și oferă: • recepția și transmiterea pachetelor (ТСР/ІР); • criptare în conformitate cu GOST - în modul gamma cu feedback; • comprimarea datelor protejate; • protecția datelor împotriva denaturării (imitării); • NAT; • autentificarea abonaților la distanță; • controlul integrității software-ului cripto gateway-ului înainte de încărcarea sistemului de operare (blocare electronică Sobol) Stația de abonat este utilizată pentru o conexiune sigură la serverul de acces, pe care se află cripto-gateway-ul "Continent-K" După stabilirea unei conexiuni și obținerea permisiunii de acces la rețeaua protejată (serverul de acces realizează identificarea și autentificarea utilizatorului la distanță și determină nivelul de acces al acestuia), tot traficul dintre stația de abonat și rețeaua protejată este criptat în conformitate cu GOST - Complexul folosește schema de certificate X Produsele ViPNet VPN includ două soluții: ViPNet [Custom] și ViPNet [Tunnel] Sistemul ViPNet [Custom] este conceput pentru a combina un număr arbitrar de stații de lucru și rețele locale într-o singură rețea securizată Sistemul include: e • ViPNet [Administrator] - un modul care creează infrastructura de rețea, monitorizează rețeaua și gestionează obiectele rețelei Acesta formează cheia primară și informațiile despre parolă pentru obiectele de rețea și certifică cheile generate de aceste obiecte; • ViPNet [Coordonator] este un modul care realizează rutarea pachetelor securizate, tunelarea pachetelor dintr-un grup de computere neprotejate deservite din rețeaua locală Filtrează traficul din surse non-VPN în conformitate cu un anumit PB, oferă posibilitatea computerelor protejate de a lucra prin firewall-uri și servere proxy de la alți producători; • ViPNet [Client] - un modul care asigură protecția informațiilor în timpul transmiterii prin canale de comunicații deschise și protecția accesului la resursele computerului din rețelele publice Modulul poate fi instalat atât pe o stație de lucru, cât și pe un server (bază de date, server de fișiere, server www, SMTP, SQL etc ) Sistemul ViPNet [Tunnel] este conceput pentru a combina rețelele locale sau birourile într-un VPN Sistemul se bazează pe pachetele software ViPNet [Coordonator] care acționează ca gateway și software client pentru calculatoarele din rețele locale protejate Sistemul îndeplinește următoarele funcții: • server de adrese IP; • Server proxy pentru conexiuni securizate; • server tunel; • ME (filtrarea traficului din surse care nu fac parte din VPN, în conformitate cu PB) Toate produsele din serie folosesc un driver de nivel scăzut care interacționează direct cu driverul de interfață de rețea, ceea ce asigură independența față de sistemul de operare Miezul criptografic al acestei familii de produse este instrumentul de protecție criptografică Domen-K Produsele autohtone considerate sunt certificate Întrebări de control Ce straturi ale stivei de protocoale TCP/IP sunt folosite pentru a crea un VPN? Denumiți principalele tipuri de configurații VPN Ce se înțelege prin termenul "tunel"? Care sunt principalele dezavantaje ale utilizării unui VPN Numiți pașii principali în formarea unui canal securizat atunci când utilizați protocolul L TP Care sunt principalele motive pentru dezvoltarea protocolului IP versiunea Enumerați principalele sarcini rezolvate de asociațiile de securitate Enumerați principalele diferențe dintre modurile de transport și cele de tunel Numiți elementele principale ale infrastructurii RKI Evaluați ordinea "costurilor generale" atunci când aplicați protocoalele ESP și AH Este posibil să se utilizeze simultan protocoalele ESP și AH pentru a organiza comunicații sigure? Ce opțiuni de comunicații securizate sunt acceptate de IPSec? Ce protocol (ESP sau AH) este incompatibil cu NAT? Care este compoziția și scopul unui certificat digital cu cheie publică? De ce ține centrul autorizat liste cu certificatele revocate și cu atribuțiile revocate? Ce instrumente pot fi folosite pentru a construi un VPN? APLICARE Sistem de detectare a intruziunilor Snort Sistemul de descoperire a rețelei Snort a fost dezvoltat de Martin Roesch ca un IDS simplificat sub forma unui analizor de rețea (www snort org) Prin îmbunătățiri și extensii constante, Snort devine din ce în ce mai mult un sistem complet de analiză a traficului IP și de înregistrare a pachetelor în timp real În prezent, Snort este un exemplu de comunitate online colaborativă Deoarece Snort IDS este open source, mulți cercetători sunt implicați în dezvoltarea de noi pluginuri și îmbunătățiri ale celor vechi Prin design, Snort este portabil și rulează pe multe sisteme de operare Snort există în prezent pentru arhitecturile x Linux, BSD gratuit, NetBSD, OpenBSD și Windows Sistemul Snort poate funcționa în trei moduri principale: sniffer de pachete, înregistrare de pachete și sistem de detectare a intruziunilor în rețea Să aruncăm o privire rapidă la principalele componente ale Snort În primul rând, datele de intrare (pachete de rețea) sunt procesate de decodorul de pachete Dacă Snort este folosit doar ca un sniffer de pachete, atunci datele decodate sunt formatate și tipărite pe consolă Dacă Snort este folosit ca un logger de pachete, atunci datele decodificate, în funcție de ceea ce este specificat pe linia de comandă, sunt fie stocate în format binar, fie convertite în format ASCII și scrise într-un fișier de pe disc Dacă Snort este utilizat ca IDS de rețea, procesarea continuă Datele decodificate sunt transmise preprocesoarelor specificate în fișierul de configurare snort conf Datele sunt apoi transmise procesorului de descoperire, care le compară cu parametrii setului de reguli specificați în fișierul de configurare Dacă datele se potrivesc, acestea sunt trimise către componentele de înregistrare și semnalizare (în funcție de setări, are loc înregistrarea sau generarea alarmei) Fișierul principal este un fișier de configurare, ale cărui primele rânduri arată astfel: # # http://www snort org Fișierul de configurare Snort # Contact: snort-sigs@lists sourceforge net # - # $Id$ # # Acest fișier conține un exemplu de configurație snort # Puteți urma următorii pași pentru a vă crea propriul personalizat # configurație: # # ) Setați variabilele pentru rețeaua dvs # ) Configurați biblioteci încărcate dinamic # ) Configurați preprocesoare # ) Configurați pluginuri de ieșire # ) Adăugați orice directive de configurare de rulare # ) Personalizați-vă setul de reguli P Decodor de pachete Decodorul de pachete determină protocolul conținut în pachetul în cauză și verifică dacă datele sunt conforme cu acel protocol Decodorul poate genera propriile semnale în cazul antetelor de pachete malformate, pachetelor prea mari, opțiunilor TCP neobișnuite sau incorecte setate în antet și alte cazuri similare Prin modificarea fișierului de configurare, puteți activa sau dezactiva diferite seturi de semnături pentru aceste câmpuri de pachete P Preprocesoare Preprocesoarele sunt pluginuri Snort care vă permit să analizați intrarea într-o varietate de moduri Dacă nu este specificat niciun preprocesor în fișierul de configurare, atunci puteți vizualiza numai fiecare pachet pe măsură ce este transmis Snort conține o mare varietate de preprocesoare care pot fi utilizate în diferite moduri de operare Toate preprocesoarele în funcție de funcțiile lor pot fi împărțite în trei grupuri: ) asamblarea (reasamblarea) pachetelor (preprocesoare frag , frag , stream ); ) normalizarea protocolului (preprocesoare http inspect, rpc decode, telnet decode, ftp telnet, ftp telnet protocol, smtp, arpspoof); ) detectarea anomaliilor de trafic cunoscute (preprocesoare sfPortscan, bo, performance) Să aruncăm o privire la fiecare dintre aceste grupuri P Preprocesoare pentru construirea pachetelor preprocesor frag Noul preprocesor de defragmentare frag permite procesarea specifică țintei Este destinat să înlocuiască preprocesorul frag și are proprietăți suplimentare de execuție mai rapidă și procesare orientată către țintă pentru a proteja împotriva evadării IDS și a falsificării Ideea de a lua în considerare sistemul țintă este de a ține cont de particularitățile construirii stivelor de rețea de gazde reale ale rețelei protejate și de a furniza IDS-ului informații topologice Prin urmare, acest preprocesor conține două preprocesoare pa: preprocesor de configurare globală frag global și preprocesor de procesare frag engine Preprocesorul de configurare globală utilizează următoarele opțiuni: • max fragment - numărul maxim de fragmente urmărite simultan (implicit - ); • memcap - cantitatea de memorie rezervată pentru preprocesor (implicit - Mb); • prealloc memcap - un mod alternativ de gestionare a memoriei pentru a crește viteza de procesare (folosește noduri de fragmente predefinite în memorie); • prealloc frags - un mod alternativ de gestionare a memoriei pentru a îmbunătăți viteza de procesare (folosește noduri de fragmente predefinite bazate pe statistici) Preprocesorul de procesare folosește următorii parametri: • timeout - timpul admisibil petrecut de fragment în memoria preprocesorului (implicit - s); • ttl limit - stabilește limita valorii ttl, depășirea căreia nu va provoca o alarmă; • min ttl - setează valoarea minimă permisă TTL (durata de viață a pachetului); • detect anomalies - detectarea anomaliilor de fragmente (versiunea actuală definește opt tipuri de anomalii); • bind to - o listă de adrese IP care vor fi procesate de acest preprocesor (valoarea implicită este "toate"); • politică - selectați modul de contabilitate pentru sistemele țintă Tipurile valide sunt first, last, bsd, bsd-right, linux, windows și solaris (implicit este bsd) Exemple: preprocesor frag global: max frags prealloc frags preprocesor frag engine: policy linux bind to { / , / } detect anomalies preprocesorul stream Acest preprocesor este proiectat pentru a genera stări și a reasambla complet fluxurile TCP, ceea ce vă permite să detectați diferite tipuri de scanare a portului, amprentarea sistemului de operare etc Preprocesorul stream utilizează următoarele opțiuni: • detect scans - detectarea scanărilor de porturi ascunse fără strângere de mână obișnuită TCP; • detect state problems - detectarea problemelor la salvarea stărilor conexiunilor TCP (este posibil un număr mare de false pozitive, cauzate de diferite abordări în implementarea stivei TCP/IP); • disable evasion alerts - Dezactivează alertele atunci când un atacator încearcă să păcălească sistemul de asamblare a pachetelor; • min ttl [număr] - setarea valorii minime ttl care este permisă de Snort la reasamblarea fluxului; • țtl limit [număr] - setează diferența maximă admisă între pachetele aceleiași sesiuni (sesiune inițială ttl și cea curentă); • keepstats [mașină|binar] - salvează statisticile sesiunii (în format text sau binar); • noinspect - dezactivează inspecția de stat pentru toate porturile, cu excepția celor pentru care sunt asamblate pachete; • timeout [număr] - setarea contorului de timp pentru sesiune (implicit - s); • max sessions [număr] - limitează numărul de sesiuni pe care acest preprocesor le va urmări; • memcap [număr] - setarea cantității de memorie pe care o va folosi preprocesorul (implicit - octeți); • log flushed streams spune preprocesorului că de fiecare dată când un suprapachet creat pentru un flux generează o alarmă, acesta ar trebui să fie salvat pe disc (această opțiune funcționează doar în modul pcap); • server inspect limit [bytes] - setarea numărului de octeți care trebuie monitorizați pe partea serverului Exemplu: fluxul de preprocesor : disable evasion alerts P Preprocesoare de normalizare a protocolului http inspect preprocesor Acest preprocesor scanează memoria tampon de date pentru anteturi HTTP și își normalizează câmpurile Preprocesorul http-inspect recunoaște traficul de server (răspunsuri) și traficul client (cereri) Versiunea actuală a preprocesorului nu implementează controlul stării, de exemplu câmpurile de pachet HTTP din fiecare pachet sunt analizate Prin urmare, dacă pachetele nu sunt reasamblate, atunci preprocesorul poate fi păcălit În viitor, este planificată introducerea controlului de stat și pentru protocolul HTTP Acest preprocesor conține și doi preprocesoare: configurația globală și configurarea serverului Preprocesorul de configurare globală vă permite să setați diferite tabele de codificare (parametrul iis unicode map), să monitorizați prezența traficului HTTP pe porturile care nu sunt configurate pentru HTTP (parametrul detect anomalous servers), să controlați utilizarea unui server proxy de către utilizatori și încercările de a utiliza alte servere proxy neautorizate (parametrul proxy alert) Preprocesorul de configurare a serverului poate funcționa cu două tipuri de servere: o configurație implicită și o configurație pentru o listă de adrese IP Configurația implicită se aplică fiecărui server care nu este configurat individual Dacă sunt specificate adrese, opțiunile de configurare sunt specificate pentru fiecare server din listă Opțiunile de configurare a serverului includ profile [all/apache/iis] - un profil de configurare care include următorii parametri: ports, iis unicode map, allow proxy use, flow depth, no alerts, inspect uri only, oversize dir length Exemplu: preprocesor http inspect server: server profil toate porturile { } Versiunea actuală are trei tipuri de profiluri: ) toate - normalizarea URI pentru a preveni metodele de atac cunoscute; ) apache - pentru serverele Apache Diferă de profilul iis numai prin utilizarea standardului UTF- Unicode, nepermițând barele oblice inverse; ) iis - Acest profil este pentru serverele IIS În acest caz, se utilizează tabelul de codificare IIS Unicode și sunt permise codarea, decodarea dublă, barele oblice inverse etc pentru a proteja împotriva atacurilor cunoscute asupra IIS Apoi următorul URI /scripte/ %cO%af /winnt/system /cmd exe?/c+ver la aplicarea profilului, toate vor fi reprezentate (normalizate) după cum urmează: /winnt/system /cmd exe /c+ver Exemple: • configurație globală: preprocesor http inspect:global iis unicode map unicode tar • configurare server: preprocesor http inspect server: server defect profil toate porturile { } oversize dir length • configurarea unui server unic: preprocesor http inspect server: server porturi { } flow depth ascii nu double decode da non rfc char { x } chunk length non strict oversize dir length no alerts P Preprocesoare de detectare a anomaliilor preprocesor sfPortscan Acest preprocesor este conceput pentru a detecta diverse metode de scanare a portului și utilizează următoarele opțiuni: • proto {tcp udp icmp ip all} - specifică tipurile de protocoale de scanare; • scan type { portscan portsweep decoy portscan distributed portscan all } - specifică tipul de scanare care va fi detectată de preprocesor; • sense level { low|medium|high } - setează nivelul de sensibilitate de detecție Un nivel scăzut permite detectarea metodelor obișnuite de scanare (prin observarea răspunsurilor de eroare, cum ar fi TCP RST sau ICMP Unreachable) Nivelul de mijloc detectează scanările de porturi, inclusiv scanările filtrate (scanări fără răspuns) Acest nivel este utilizat când se utilizează funcția NAT sau se pune în cache serverele DNS Nivelul înalt are cele mai scăzute praguri pentru detectarea scanării porturilor și o fereastră de timp de monitorizare semnificativ mai mare; • memcap { întreg pozitiv } - specifică dimensiunea maximă a memoriei, în octeți, pentru detectarea scanării porturilor; • logfile { filename } - Această opțiune specifică numele fișierului în care vor fi înregistrate alarmele și pachetele abandonate Exemplu: preprocesor sfportscan: proto { all} memcap { } sense level { low } bo preprocesor Preprocesorul este conceput pentru a detecta traficul instrumentului Back Orifice, care a fost dezvoltat de grupul de hackeri Cult of the Dead Cow în Una dintre caracteristicile acestui instrument de control de la distanță este utilizarea criptării Atacatorul alege o parolă, care este convertită într-un cod hash de biți Traficul de schimb este criptat prin efectuarea unei operații XOR cu codul hash primit Cercetătorii au descoperit că toate solicitările atacatorului încep cu șirul "magic" *!*QWTY?, care vă permite să determinați prezența unui schimb și să găsiți gama folosită pentru criptare Preprocesorul detectează Back Orifice verificând fiecare pachet UDP care are o dimensiune de cel puțin octeți, comparând primele caractere ale datelor cu un tabel pre-preparat de variante criptate ale șirului magic (de fapt, doar primele și ultimele două caracterele acestui șir sunt verificate) Un astfel de tabel se formează atunci când Snort este lansat în etapa de inițializare a preprocesorului Preprocesorul bo nu acceptă argumente și poate semnala următoarele cazuri: detectarea traficului cu orificiul din spate, detectarea traficului clientului, detectarea traficului pe server și detectarea atacului buffer Snort Exemplu: preprocesor bo: noalert {server general} aruncă {snort attack} PZ Procesor Discovery • Baza mecanismului de descoperire este o comparație cu regulile existente Această componentă Snort preia intrare de la decodorul de pachete și de la preprocesoare (dacă este activată) și compară valorile câmpurile acestor date cu regulile specificate în fișierul de configurare Procesorul de descoperire încearcă mai întâi să determine ce set de reguli să folosească pentru o anumită bucată de date Aceasta este mai întâi determinată de protocolul respectiv (TCP, UDP, ICMP sau IP), apoi sunt identificate caracteristicile din cadrul protocolului respectiv Pentru TCP și UDP, acestea sunt numerele portului sursă și destinație; pentru ICMP, acesta este tipul de mesaj La compararea cu regulile, varianta este de obicei folosită atunci când Snort funcționează pe principiul primului meci - este declanșată prima regulă, ale cărei condiții sunt îndeplinite Versiunea actuală de Snort include capacitatea de a efectua mai multe comparații pentru un singur eveniment și de a genera mai multe alarme pentru un singur lot În plus, există posibilitatea alegerii secvenței de aplicare a regulilor, asociată cu posibilitatea fundamentală a atacurilor de înșelăciune IDS Pentru a răspunde la mai multe alarme, este posibil să semnalați un anumit număr de apariții ale unui anumit set de date într-un interval de timp dat Această capacitate se numește clasificare la prag În acest caz, puteți alege următoarele opțiuni: emiteți o alarmă după primirea primelor "-semnale despre acest eveniment sau pentru fiecare "-instanță a acestui eveniment P module de ieșire Modulele de ieșire permit administratorului să modeleze și să prezinte rezultatul Snort Modulele de ieșire sunt activate ori de câte ori sunt apelate subsistemele de înregistrare și semnalizare, după ce decodorul și preprocesoarele și-au încheiat activitatea Modulele de ieșire pot fi considerate module de extensie de sistem, deoarece pot fi scrise de utilizatorii sistemului și incluse în Snort în timpul procesului de compilare Există șapte aspecte cheie pentru fiecare modul de ieșire: antet și informații despre copyright, includ fișiere, dependențe și variabile globale, înregistrarea cuvintelor cheie, analizarea argumentelor și listarea funcțiilor, formatarea, manipularea și stocarea datelor, preprocesarea , ștergerea zonelor de memorie și ieșirea din aplicație Snort oferă utilizatorului mai multe modalități de a înregistra atât alarmele generate, cât și pachetele de date asociate Aceste date pot fi înregistrate în cod ASCII sau în format binar și scrise folosind diferite module de ieșire Înregistrările în format binar pot fi recuperate folosind orice analizor de pachete, cum ar fi Ethereal, TCPdump sau IRIS Au fost dezvoltate module pentru versiunea actuală de Snort care permit trimiterea de alarme sub formă de solicitări SNMP (Simple Network Management Protocol) către un server SNMP la distanță, precum și un modul de ieșire SMB Alerting care trimite alarme către sistemele Windows la distanță în timp real Implementarea unui modul de înregistrare în format PCAP (Packet Capture Library), un modul de înregistrare conform standardului XMLIDMEF În plus, Snort are capacitatea de a scrie alarme și pachete în diferite baze de date, inclusiv MySQL, PostgreSQL, SQL Server și Oracle P Reguli Snort Unul dintre cele mai mari puncte forte ale lui Snort este capacitatea utilizatorului de a dezvolta și de a folosi propriile reguli Pentru a construi reguli, se folosește un limbaj de descriere simplu, cu care vă puteți scrie propriile reguli pe baza specificului utilizării Snort Majoritatea regulilor sunt scrise pe un singur rând Versiunea actuală permite regulilor să se întinde pe mai multe linii, cu un caracter backslash (\) la sfârșitul fiecărei linii O regulă Snort constă din două părți principale: antetul regulii și opțiunile de regulă Antetul regulii conține acțiunea regulii, protocolul, adresele și măștile IP sursă și destinație, numerele portului sursă și destinație Opțiunile de regulă conțin mesajele generate atunci când este generată o alarmă și informații despre ce parte a pachetului să se uite pentru a compara cu regula Opțiunile de regulă sunt incluse în paranteze Un exemplu de regulă simplă (pentru claritate, regula este scrisă în două rânduri folosind semnul \): alertează tcp orice -> / \ (conținut: " | a \"; mesaj: "acces montat";) În acest caz, textul dinaintea parantezei de deschidere este titlul regulii Partea regulii cuprinsă între paranteze conține opțiunile regulii Numele opțiunii (cuvântul cheie) se termină cu două puncte, urmate de conținutul opțiunii, care la rândul său se termină cu punct și virgulă Titlul regulii Primul element de antet este o acțiune care îi spune lui Snort ce să facă atunci când pachetul de date se potrivește cu opțiunile regulii și o listă de acțiuni care pot fi specificate în antetul regulii: • alertă - generează o alarmă folosind metoda dată și înregistrează pachetul; • jurnal - scrieți pachetul în jurnal; • trece - ignora pachetul; • activare - generează o alarmă și activează regula dinamică; • dinamic - acțiunea acestei reguli este ignorată până când este activată de regula de activare (opțiune de activare), după care este înregistrată; • drop - eliminați pachetul folosind iptables și scrieți-l în jurnal; • respingere - eliminați pachetul folosind iptables, scrieți-l în jurnal și trimiteți un pachet TCP RST (pentru protocolul TCP) sau un port ICtylP inaccesibil (pentru protocolul ICMP); • sdrop - Permite i ptables să arunce pachetul, dar nu îl înregistrează Următorul câmp de antet este protocolul Versiunea actuală de Snort utilizează patru protocoale pentru a analiza comportamentul suspect: TCP, UDP, ICMP și IP Este planificată introducerea următoarelor protocoale: ARP, IGRP, GRE, OSPF, RIP, ІРХ etc Următoarele câmpuri de antet sunt adresa și portul Cuvântul cheie apu poate fi folosit pentru a specifica orice adresă Adresa poate fi urmată de un bloc (CIDR, Classless Inter-Domain Routing) care denotă masca Blocul masca / indică către o rețea de clasă C, blocul / către o rețea de clasă B și blocul / către o anumită adresă (de exemplu, combinația / indică un bloc de adrese de la până la ) Există un operator de negație - un semn de exclamare Acest operator îi spune lui Snort să ia în considerare toate adresele, cu excepția operatorilor de negație marcați În titlul regulii, puteți specifica o serie de adrese, care este cuprinsă între paranteze drepte: alert tcp \ Următorul câmp de antet este numărul portului Un port poate fi specificat în mai multe moduri: cuvântul cheie apu se referă la orice număr de port, doar un număr de port ( în exemplu), un interval de numere (de ex : ) De asemenea, puteți utiliza operatorul de negație când specificați numărul portului (cu excepția utilizării operatorului de negație cu cuvântul cheie apu) Apoi, antetul Snort folosește operatorul de direcție -> pentru a indica direcția traficului la care ar trebui să se aplice regula Dacă este necesar să se aplice regula traficului bidirecțional, se folosește caracterul O Nu se folosește caracterul de direcție cu înlocuirea corespunzătoare a părților de adresă ale antetului Operatorul de destinație este urmat de adresa de destinație, mască și portul Opțiuni de regulă Opțiunile de regulă sunt fundamentul mecanismului de descoperire, oferind capabilități de descoperire Există patru categorii de opțiuni: • metadate - furnizarea de informații despre regula care nu este utilizată în procesul de descoperire; • sarcină utilă - oferă vizualizarea datelor din interiorul pachetului; • non-payload - vizualizați datele care nu sunt conținute în sarcina utilă a pachetului; • post-definiție - Indică tranziții specifice care trebuie executate atunci când regula se declanșează În continuare, să aruncăm o privire rapidă la opțiunile pentru regulile categoriei opțiunile de metadate Opțiunile din această categorie includ opțiunile: msg, reference, sid, rev, classtype și priority: • msg - indică mecanismelor de înregistrare și generare a alarmelor conținutul mesajului corespunzător, care este specificat sub formă de curent un șir cuprins între ghilimele, de exemplu, (msg: "IMAP buffer overflow"); • referință - vă permite să faceți o legătură către sisteme externe de identificare a atacurilor Sunt acceptate următoarele link-uri: bugtraq (http://www securityfocus com/bid/), cve (http://cve mitre org/cgi-bin/cvename cgi?name=), nessus (http: // cgi nessus org/plugins/dump php ?id=), arahnide (http://www whitehats com/info/IDS), mcafee (http://vil nai com/vil/dispVirus) asp ?virus k=), uri (http://); • sid - folosit pentru a identifica în mod unic regulile Snort În prezent, toate sid-urile sunt împărțite în grupuri: până la sunt rezervate, de la la sunt incluse în distribuția Snort, peste sunt pentru uz local; • gev - permite suprascrierea semnăturilor și descrierilor acestora cu informații noi (utilizate împreună cu sid); • classtype - caracterizează categoria de alarmă (indică clasa de atac) Utilizatorul poate defini o prioritate pentru fiecare tip de regulă Categoriile existente și prioritățile lor se află în fișierul classification config; • priority - priority setează nivelul de importanță al regulii, de exemplu, în corpul regulii puteți specifica: (conținut: "/cgi-bin/phf"; prioritate: ;) Opțiuni de detectare a sarcinii utile Aceste opțiuni sunt cele mai semnificative și mai interesante Aceste opțiuni includ: conținut, uricontent, iisdataat, pere etc : • conținut - vă permite să utilizați o regulă care caută date specifice în conținutul pachetului Datele pot fi un șir de text sau date binare De exemplu, conținut:!"GET" (reprezintă un șir de text), conținut: "| s OO|P|OO|I|OO|P|OO|OO s|"; (reprezintă un amestec de text și date binare) Pentru cuvântul cheie de conținut, la rândul său, puteți specifica cuvintele cheie de modificare: depth, offset, distance, within, nocase și rawbytes, care oferă diverse opțiuni pentru căutarea șirurilor date: depth - determină numărul de octeți pe care această regulă ar trebui să-i analizeze atunci când căutarea unui anumit conținut; offset - îi spune preprocesorului că căutarea șirului dat ar trebui să înceapă cu octetul offset; distanta - indica numarul de octeti care ar trebui ignorati inainte de inceperea comparatiei; în - vă permite să vă asigurați că numărul de octeți specificat de opțiune este între modelele specificate, de exemplu, (conținut: "ABC"; conținut: "EFG"; în: ;); nocase - o indicație a ignorării cazului de text în conținutul regulii, de exemplu, (conținut: "rădăcină USER"; nocase;); rawbytes - Acest cuvânt cheie îi permite lui Snort să ia în considerare conținutul pachetului în notație hexazecimală, indiferent de tipul de codificare, de exemplu, (conținut: "|FF Fl|"; rawbytes;); uricontent - această opțiune vă permite să analizați traficul sistemului solicitant doar în secțiunea URI a cererii, normalizând șirurile găsite, de exemplu URI: /scripts/ %c %af /winnt/system /cmd exe?/c+ver și /edi-bin/ааааааааааааааааааааааааааааааааааааааааааааааааааааааааaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/ % fp% ^f? va fi normalizat la /winnt/system /cmd exe?/c+ver și /cgi-bin/phf? Opțiunea iisdataat specifică faptul că conținutul se află într-o anumită locație, corespunzătoare sfârșitului datelor primite în pachetul anterior Opțiunea pere vă permite să scrieți regula folosind limbajul Perl Având în vedere numărul semnificativ de atacuri care folosesc implementarea specifică a stivei TCP\IP, Snort conține un număr mare de opțiuni care nu au legătură cu conținutul pachetului Să ne uităm la unele dintre aceste opțiuni oferite de următoarele cuvinte cheie: • fragoffset - vă permite să comparați valoarea câmpului de compensare a fragmentului cu valoarea specificată, de exemplu, pentru a vizualiza primele fragmente (fragbits: M; fragoffset: ;); • ttl - vă permite să verificați durata de viață a pachetului, de exemplu (ttl: $HOME NET orice \ (msg: "SCAN FIN"; semnalizatoare: F; reference:arachnids, ; \ classtype:attempted-recon; sid:- ; rev:l;) Să luăm în considerare o regulă care determină comportamentul unui atacator după ce a obținut acces la un server Windows prin exploatarea unei vulnerabilități IIS atunci când un atacator încearcă să folosească interpretul de comandă cmd exe Atacatorul încearcă apoi să răsfoiască directorul folosind comanda dir Șirul "Număr de serie volum" se găsește de obicei în lista de directoare pentru Windows NT\ \XP: alert tcp $HTTP SERVERS $HTTP PORTS -> $EXTERNAL NET \ orice (msg:"Răspunsuri la atac http dir listă"; \ conținut: "Număr de serie al volumului"; \ flux:de la server,stabilit; classtype:bad-necunoscut;\ sid: ; rev: ;) Următoarea regulă este concepută pentru a detecta viermele de rețea Slammer care încearcă să exploateze o vulnerabilitate de depășire a tamponului în Serviciul de rezoluție MS SQL Server : alertă udp $EXTERNAL NET orice -> $HOME NET \ (msg:"Încercare de propagare a viermilor MS-SQL"; \ continut:"\ I"; adâncime:l; \ continut:"\ FI B FI \"; \ continut:"ciorap"; conținut: "trimite"; \ referință:bugtraq, ; tip de clasă: diverse atacuri; \ referință:bugtraq, ; \ reference:uri, vil nai com/vil/content/v htm; \ sid: ; rev: ;) BIBLIOGRAFIE Balașov P D Evaluarea riscului de securitate a informațiilor / P D Balashov, R I Kislov, V P Bezrukov // Încrezător - - Nr - Black W Internet: protocoale de securitate: un curs de formare / W Black - St Petersburg : Peter, Algoritmi genetici, rețele neuronale artificiale și probleme ale realității virtuale / [G A Voronovsky, K V Makhotilo, S N Petrashev, S A Sergeev] - Harkov: Osnova, Duke V Data Mining: curs de formare / V Duke, A Samoylenko - Sankt Petersburg: Peter, Protecția perimetrului rețelei: per din engleza / [Stephen Northcutt et al ] - K : TID "DS", Zima V M Security of global network technologies / V M Zima, A A Moldovyan, N A Moldovyan - Ed a II-a - St Petersburg : BHV-Petersburg, Ibe O Rețele și acces la distanță Protocoale, probleme, solutii: per din engleza / O Ibe - M : DMK Press, Instrumente, tactici și motive ale hackerilor Cunoaște-ți dușmanul: trad din engleza - M : DMK Press, Oliver W G Retele de calculatoare Principiu, tehnologie, protocol / V G Olifer, N A Oliver - SPb : Peter, Kochinev Yu Yu Audit / Yu Yu Kochinev - Ed a II-a - SPb : Peter, Lukatsky A V Obnaruzhenie star / A V Lukatsky - SPb : BHV-Petersburg, Maftik S Mecanism de protectie in retelele de calculatoare: per e engleza / S Maf-tik - M : Izd casa "Williams", Noul hacker de dicționar: per e engleza / pod ed E S În Raymond - M : CenterCom, Northcutt S Protejarea perimetrului rețelei: per din engleza / S Northcutt - K : TID "DS", Northcutt S Detectarea intruziunilor în rețea Un manual pentru un analist de sisteme / S Northcutt, J Novak, Donald MacLachlan - M : LORI, Ogletree T Firewall-uri Aplicarea practică a firewall-urilor: per din engleza - M : DMK Press, Osovsky S Rețele neuronale pentru prelucrarea informațiilor / S Osovsky; pe din poloneză I D Rudinsky - M : Finanțe și statistică, Petrenko S A Managementul riscului informațional Securitate justificată economic / S A Petrenko - M : DMK Press, Pol'man N Arhitectura firewall-urilor pentru rețelele de întreprindere: per din engleza / N Polman, T Crazers - M : Ed Casa Williams Rostovtsev A G Introducere în criptografia cu chei publice / A G Rostovtsev, E B Makhovenko - St Petersburg : Peace and Family, Facilități informatice Firewall-uri Protecție împotriva accesului neautorizat la informații Indicatori de securitate împotriva accesului neautorizat la informații: document de orientare - M , Stolings V Fundamentele protecției rețelei Aplicații și standarde: per din engleza / V Blocaje - M : Ed casa "Williams", Tarasov V B De la sisteme multi-agent la organizatii intelectuale: filozofie, psihologie, informatica / V B Tarasov - M : Editorial URSS, Wasserman F Tehnologia neurocomputerelor / F Wasserman - M : Mir, ' Ford D L Protecție personală împotriva hackerilor Un ghid pentru începători: trad din engleza /D L Vad - M : KUDITS-OBRAZ, Habraken D Routere Cisco Aplicație practică: Per din engleza / D Khabraken - M : DMK Press, GOST R - Protejarea datelor Termeni și definiții de bază GOST R ISO/IEC - - Tehnologia de informație Metode și mijloace de asigurare a securității Criterii de evaluare a securității tehnologiei informației Partea Introducere și model general CUPRINS Introducere Capitolul : Securizarea interfuncționării Elementele fundamentale ale rețelelor și interconectării Securitatea informațiilor Politica de securitate Șabloane de politici de securitate Politica de securitate a rețelei Apărare în profunzime Managementul riscurilor Concepte de bază Procesul de evaluare a riscurilor Atenuarea riscurilor Un exemplu de conținut al rezultatului raport Auditul securității informațiilor Mecanisme și servicii de protecție Capitolul Atacurile de rețea de la distanță Atacurile de rețea Scenariu de atac generalizat Recunoaștere pasivă Recunoaștere activă Selectarea exploatării Hackerea sistemului țintă Încărcarea "sarcină utilă" Ascunderea urmelor de efractie Exemple de atac Unele atacuri Atacul lui K Mitnick Clasificări ale atacurilor de la distanță Liste de termeni Liste de categorii Diagramele matriceale Procese Clasificarea Howard Construirea unei ontologii a atacurilor de rețea Evaluarea severității atacurilor Capitolul Tehnologii firewall Tehnologia firewall în evoluție Filtrarea pachetelor Firewall-uri cu strat de legătură Paravane de protecție pentru stratul de aplicație Firewall-uri cu filtrare dinamică pachete Firewall-uri de inspecție de stat Firewall-uri la nivel de kernel Firewall-uri personale Firewall-uri distribuite Ocoliți firewall-urile Abordare graduală Tunele Cerințe și indicatori de securitate a inter-rețelei ecrane Testarea paravanului de protecție Capitolul Sisteme de detectare a intruziunilor și a intruziunilor Modele de sisteme de detectare a intruziunilor Model D Denning Model C DF Clasificarea sistemelor de detectare intruziuni Detectarea semnăturii Detectarea anomaliilor Tehnici de extragere a datelor Metode ale tehnologiei agentului mobil Metode de construire a sistemului imunitar Aplicarea algoritmilor genetici Utilizarea rețelelor neuronale Limbaje de descriere a atacurilor Tehnici de ocolire a sistemelor de detectare a intruziunilor Metode de a ocoli sistemele de descoperire a rețelei intruziuni Metode pentru ocolirea sistemelor de descoperire a gazdei intruziuni Instrumente auxiliare de detectare Testarea sistemelor de detectare a intruziunilor Testarea sistemelor comerciale Testarea prototipurilor de cercetare Sisteme de prevenire a intruziunilor Capitolul : Rețele private virtuale Tunele Protocoale VPN din stratul de legătură Protocolul IPSec Asociația de Asigurare a Securității Protocolul de schimb de chei pe internet Protocol de autentificare antet Protocolul de încapsulare sigură a conținutului pachet Un exemplu de utilizare a protocolului IK E Partajarea protocoalelor ESP și AH Tipuri de bază de relaţii sigure Protocoale VPN la nivel de transport Certificate digitale Exemple de construcție internă a VPN Aplicație Sistem de detectare a intruziunilor Snort Referințe Ediție educațională Platonov Vladimir Vladimirovich Software și hardware pentru asigurarea securității informațiilor rețelelor de calculatoare Tutorial Editor N L Kotelina Editor tehnic N I Gorbacheva Corectare computer: G Yu Nikitina Corectori I N Volkova, T V Kuzmina Ed Nr Semnat spre publicare la august Format x / Căști "Times" Tip de hârtie Nr Imprimare offset Conv cuptor l Tiraj de exemplare Ordinul nr Centrul de editare "Academia", www academia-moscow ru Incheierea sanitara si epidemiologica Nr D din , Moscova, st Butlerova, -B, camera Tel /Fax: ( ) - , - Tipărit la Uzina Poligrafică OAO Saratov , Saratov, str Cernîșevski, de ani https://neculaifantanaru com/en/hr-human-resources html